| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor Graybird gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
02.02.2008, 20:20
| #1 | |
| |  Backdoor Graybird gefunden Hallo, Antivir hat mir gerade gemeldet, dass der Backdoor trojaner Graybird gefunden worden ist. Zitat:
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:54:22, on 02.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\*****\Eigene Dateien\*****\HiJackThis202.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\*****\Eigene Dateien\ws.js R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {688E2EEB-6F79-4166-926E-889FD959A44A} - C:\WINDOWS\system32\ieakui32.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\tbcore3U.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0 O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1179505828\ee\AOLSoftware.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [rraulfwx] C:\untsxvgi.bat O4 - HKLM\..\Run: [nojnfshc] C:\eqgmctac.bat O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ProxyWay] C:\Programme\ProxyWay\proxyway.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: WinSweep.lnk = C:\Programme\WinSweep\WinSweep.Exe O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Acer Empowering Technology.lnk = ? O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll O16 - DPF: {2A96D88B-55DD-46de-8235-455759988526} (Intel Content Update) - http://vvswupdate.intel-support.com/gtwebcheck/prod_en/161/install/gtdownin.cab O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KXHCM10 Control) - http://camera2.atmark.ne.jp/kxhcm10.ocx O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://82.94.95.81/activex/AMC.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.webcamkoenig.de/files/AxisCamControl.cab O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://webcam6.hrz.tu-darmstadt.de/activex/AMC.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC091D7-8753-4F1B-B492-E533E216B4F5}: NameServer = 192.168.178.1 O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: SecureSrv - Unknown owner - C:\Programme\Hide My IP 2007\SecureSrv.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 10657 bytes mfg ALmawt |
|
02.02.2008, 20:34
| #2 |
 | Backdoor Graybird gefunden Fix ma folgendes
__________________O2 - BHO: (no name) - {688E2EEB-6F79-4166-926E-889FD959A44A} - C:\WINDOWS\system32\ieakui32.dll (file missing) Bitte bei virustotal.com testen lassen c:\windows\system32\securenet.dll Lasse danach bitte mal Spybot Search and DEstroy durchlaufen |
|
02.02.2008, 21:04
| #3 |
| | Backdoor Graybird gefunden Ok, danke schon mal
__________________hier ist die auswertung von virustotal: Code:
ATTFilter
AhnLab-V3 2008.2.2.10 2008.02.01 -
AntiVir 7.6.0.61 2008.02.01 -
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 -
BitDefender 7.2 2008.02.02 -
CAT-QuickHeal 9.00 2008.02.01 -
ClamAV 0.92 2008.02.02 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 -
FileAdvisor 1 2008.02.02 -
Fortinet 3.14.0.0 2008.02.02 -
F-Prot 4.4.2.54 2008.02.01 -
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.02 -
Kaspersky 7.0.0.125 2008.02.02 -
McAfee 5221 2008.02.01 -
Microsoft 1.3204 2008.02.02 -
NOD32v2 2845 2008.02.02 -
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.02 -
Prevx1 V2 2008.02.02 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 -
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.205 2008.02.01 -
VBA32 3.12.6.0 2008.02.02 -
VirusBuster 4.3.26:9 2008.02.01 -
Webwasher-Gateway 6.6.2 2008.02.02 Virus.Win32.FileInfector.gen!86 (suspicious)
weitere Informationen
File size: 888832 bytes
MD5: 58e2c7f0044248015b92509c1403825a
SHA1: 28f3fce49babf0066e6c362f0b27c02ac43f46ab
PEiD: Microsoft Visual C++ V8.0 (Debug)
|
|
03.02.2008, 01:56
| #4 |
| | Backdoor Graybird gefunden Sorry für den doppelpost  Ich habe jetzt mal den eScan durchlaufen lassen. Also für mich sieht das nach ein bisschen mehr aus als nur Graybird. Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK
eScan Version: 9.6.9
Sprache: German
Virus-Datenbank Datum: 2/2/2008
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cws.tooncomics Browser Hijacker (ld.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cws.tooncomics Browser Hijacker (ld.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cws.tooncomics Browser Hijacker (ld.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cws.tooncomics Browser Hijacker (ld.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.
System found infected with remacc.multiwebsurv Generic Malware (C:\WINDOWS\iun6002.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\Softomate\ToolbarStudio\bin\ie2firefox\like_google.cab/like_google.dll markiert als "not-a-virus:AdWare.Win32.Mostofate.x". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\eRightSoft\SUPER\Setup.exe//UPX markiert als "not-a-virus:AdWare.Win32.DealHelper.ak". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\***\binutils-2.17.50-20060824-1\bin\ld.exe
Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\***\binutils-2.17.50-20060824-1\mingw32\bin\ld.exe
Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\***\binutils-2.17.50-20060824-1\bin\ld.exe
Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\***\binutils-2.17.50-20060824-1\mingw32\bin\ld.exe
Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{89550b0f-a80c-11db-8e0d-00197d196713} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\Installer\MSI16.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Eigene Dateien\***\bf3k.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Eigene Dateien\***\bf3k\BinaryFight.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Gemeinsame Dateien\aol\System Information\sysres.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 166813
Gefundene Viren: 17
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 224
Dauer des Scans bisher: 01:32:55
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Batchstart: 1:46:45,04
Batchende: 1:46:52,31
|
|
03.02.2008, 09:37
| #5 |
| | Backdoor Graybird gefunden moin, Bitte mal folgendes tool durchlaufen lassen. Generic Smitfraud remover 1.15 Deutsch - Download - CHIP Online Danach einen Scan mit Combofix durchführen. Combofix - Download ComboFix von combofix - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
|
03.02.2008, 13:16
| #6 |
| | Backdoor Graybird gefunden Ok, hier ist die Log file von Combofix: Code:
ATTFilter ComboFix 08-02.03.1 - ***** 2008-02-03 12:53:23.4 - FAT32x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.802 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\***\Favoriten\Online Security Guide.lnk
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\hsoffpdj.dllbox
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-03 bis 2008-02-03 ))))))))))))))))))))))))))))))
.
2008-02-03 02:45 . 2008-02-03 02:45 <DIR> d-------- C:\Temp\XPSP2_customer_ready_2180
2008-02-03 02:45 . 2008-02-03 02:45 <DIR> d-------- C:\Temp\wininetdebug.6.0.2800.1106
2008-02-03 02:45 . 2008-02-03 02:45 <DIR> d-------- C:\Temp\wininetdebug.6.0.2600.0000
2008-02-03 02:45 . 2008-02-03 02:45 <DIR> d-------- C:\Temp\wininetdebug.5.50.4807.2300
2008-02-03 02:45 . 2008-02-03 02:45 <DIR> d-------- C:\Temp\wininetdebug.5.50.4134.600
2008-02-02 16:29 . 2008-02-02 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nvu
2008-02-02 16:28 . 2008-02-02 16:28 <DIR> d-------- C:\Programme\Nvu
2008-02-01 22:45 . 2008-02-01 22:45 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
2008-02-01 22:45 . 2008-02-01 22:45 <DIR> d-------- C:\Dokumente und Einstellungen\***\.thumbnails
2008-02-01 22:43 . 2008-02-01 22:43 <DIR> d-------- C:\Dokumente und Einstellungen\***\.gimp-2.4
2008-02-01 22:42 . 2008-02-01 22:42 <DIR> d-------- C:\Programme\GIMP-2.0
2008-02-01 20:49 . 2008-02-01 20:49 <DIR> d-------- C:\Programme\IrfanView
2008-02-01 20:12 . 2008-02-01 20:12 <DIR> d-------- C:\Programme\phase5
2008-01-31 22:48 . 2008-01-31 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield Installation Information
2008-01-31 22:48 . 2008-01-31 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CoffeeCup Software
2008-01-31 22:48 . 2004-11-19 02:46 913,560 --a------ C:\WINDOWS\system32\wodFtpDLX.ocx
2008-01-30 20:36 . 2008-01-30 20:36 <DIR> d-------- C:\Programme\tswebeditor
2008-01-30 20:36 . 2008-01-30 20:36 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.tswebeditor
2008-01-28 16:46 . 2008-01-28 17:06 223,494 --a------ C:\WINDOWS\__pp_database40.m4d
2008-01-28 16:46 . 2008-01-28 17:06 2,321 --a------ C:\WINDOWS\__pp_database40.m4d_CTBL
2008-01-28 16:43 . 2008-01-28 17:36 362,496 --a------ C:\WINDOWS\mmproxy_40.mdb
2008-01-28 16:43 . 2008-01-28 16:43 94,208 --a------ C:\WINDOWS\mmproxy_40_Backup.mdb
2008-01-28 16:33 . 2008-01-28 16:33 <DIR> d-------- C:\Programme\AIST
2008-01-27 22:11 . 2008-01-27 22:11 <DIR> d-------- C:\Programme\Hope
2008-01-27 15:42 . 2008-01-27 15:42 <DIR> d-------- C:\Programme\HyCam2
2008-01-27 02:55 . 2008-01-27 02:55 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2008-01-25 19:24 . 2008-01-25 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2008-01-21 18:12 . 2008-01-21 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2008-01-21 18:10 . 2008-01-21 18:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-21 18:09 . 2008-01-21 18:10 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-21 18:09 . 2008-01-21 18:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-21 14:58 . 2008-01-21 14:58 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVS4YOU
2008-01-21 14:58 . 2008-01-21 14:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-01-21 14:57 . 2008-01-21 14:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-01-21 14:57 . 2008-01-21 14:57 <DIR> d-------- C:\Programme\AVS4YOU
2008-01-21 14:31 . 2008-01-21 14:31 <DIR> d-------- C:\Programme\Plato Video To 3GP Converter
2008-01-21 14:31 . 2007-03-09 09:36 856,064 --a------ C:\WINDOWS\system32\mpgfiltr.ax
2008-01-21 14:31 . 2006-03-29 00:35 475,136 --a------ C:\WINDOWS\system32\SkinCrafter.dll
2008-01-21 14:31 . 2007-03-09 09:35 208,896 --a------ C:\WINDOWS\system32\VideoEdit.ocx
2008-01-21 14:31 . 2007-03-09 09:37 139,264 --a------ C:\WINDOWS\system32\viscomqtde.dll
2008-01-21 14:31 . 2007-03-09 09:36 81,920 --a------ C:\WINDOWS\system32\viscomwave.dll
2008-01-21 13:34 . 2008-01-21 13:34 <DIR> d-------- C:\Programme\Ultra RM Converter
2008-01-21 13:34 . 2007-04-12 14:19 129,024 --a------ C:\WINDOWS\system32\AVERM.dll
2008-01-20 19:45 . 2008-01-20 19:45 <DIR> d-------- C:\Programme\Vokabel Trainer 2007
2008-01-20 19:45 . 2008-01-20 19:45 <DIR> d-------- C:\Manschula.de
2008-01-20 16:02 . 2008-01-20 16:02 <DIR> d-------- C:\Programme\WiseIconMaker
2008-01-19 22:34 . 2004-08-04 05:00 66,082 --a------ C:\WINDOWS\system32\dllcache\c_20420.nls
2008-01-19 22:34 . 2004-08-04 05:00 66,082 --a------ C:\WINDOWS\system32\c_20420.nls
2008-01-19 22:16 . 2008-01-19 22:16 <DIR> d-------- C:\Programme\RTL
2008-01-19 18:46 . 2008-01-19 18:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-01-19 17:59 . 2008-01-19 17:59 <DIR> d-------- C:\Programme\Mozilla Firefox 3 Beta 2
2008-01-13 18:26 . 2008-01-13 18:26 <DIR> d-------- C:\Programme\Isotope244 Graphics
2008-01-13 18:11 . 2008-01-13 18:11 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-01-13 18:00 . 2008-01-13 18:00 <DIR> d-------- C:\Programme\eRightSoft
2008-01-13 18:00 . 2006-08-02 14:28 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-01-13 17:43 . 2008-01-13 17:43 <DIR> d-------- C:\Programme\OpenVideoConverter
2008-01-13 03:31 . 2008-01-13 03:31 <DIR> d-------- C:\Programme\Notepad++
2008-01-13 03:31 . 2008-01-13 03:31 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Notepad++
2008-01-13 03:16 . 2008-01-13 03:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\tor
2008-01-13 03:14 . 2008-01-13 03:14 <DIR> d-------- C:\Programme\Vidalia Bundle
2008-01-13 03:14 . 2008-01-13 03:14 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vidalia
2008-01-13 03:12 . 2008-01-13 03:12 <DIR> d-------- C:\Programme\ProxyWay
2008-01-13 02:53 . 2008-01-13 02:53 <DIR> d-------- C:\cache
2008-01-13 02:52 . 2008-01-13 02:52 <DIR> d-------- C:\Programme\Softomate
2008-01-13 01:48 . 2008-01-13 01:49 125 --a------ C:\ioSpecial.ini
2008-01-13 01:30 . 2008-01-13 01:30 <DIR> d-------- C:\Programme\Crawler
2008-01-13 01:01 . 2008-01-13 01:01 <DIR> d-------- C:\Programme\Hide My IP 2007
2008-01-13 01:01 . 2007-12-03 03:13 888,832 --a------ C:\WINDOWS\system32\securenet.dll
2008-01-13 00:32 . 2008-01-13 00:32 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SecureMaker
2008-01-13 00:31 . 2008-01-13 00:31 <DIR> d-------- C:\Programme\SECUREMAKER
2008-01-13 00:13 . 2008-01-26 22:15 1,865 --a------ C:\WINDOWS\mozver.dat
2008-01-12 23:43 . 2008-01-12 23:43 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Talkback
2008-01-12 23:39 . 2006-10-05 03:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-01-12 23:39 . 2006-10-05 03:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-01-12 23:38 . 2008-01-12 23:38 <DIR> d-------- C:\Programme\Picasa2
2008-01-12 23:33 . 2008-01-12 23:33 <DIR> d-------- C:\Programme\Norton Security Scan
2008-01-12 23:30 . 2008-01-12 23:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-12 17:28 . 2008-01-12 17:28 <DIR> d-------- C:\Programme\VstPlugins
2008-01-12 17:28 . 2008-01-12 17:28 <DIR> d-------- C:\Programme\ASIO4ALL v2
2008-01-12 17:28 . 2006-06-20 09:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll
2008-01-12 17:27 . 2002-07-07 23:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm
2008-01-12 17:26 . 2008-01-12 17:26 <DIR> d-------- C:\Programme\Image-Line
2008-01-12 11:47 . 2008-01-12 11:47 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-01-12 11:46 . 2008-01-12 11:46 <DIR> d-------- C:\Programme\VideoLAN
2008-01-12 11:08 . 2008-01-12 11:09 <DIR> d-------- C:\Programme\Free Download Manager
2008-01-12 10:11 . 2008-01-12 10:11 <DIR> d-------- C:\Programme\Free FLV Converter
2008-01-12 10:11 . 2006-07-11 18:06 765,952 --a------ C:\WINDOWS\system32\msvcp71d.dll
2008-01-12 10:11 . 2006-07-11 18:06 544,768 --a------ C:\WINDOWS\system32\msvcr71d.dll
2008-01-12 10:11 . 2007-06-18 23:22 364,544 --a------ C:\WINDOWS\system32\PropertyGrid.ocx
2008-01-12 10:11 . 2005-10-13 13:42 208,500 --a------ C:\WINDOWS\system32\ReyXpBasics.tlb
2008-01-12 10:11 . 1998-07-12 23:00 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-01-12 10:11 . 2000-10-01 19:00 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL
2008-01-12 10:11 . 1998-07-12 19:00 32,768 --a------ C:\WINDOWS\system32\CMDLGFR.DLL
2008-01-12 10:11 . 2005-09-28 01:31 24,576 --a------ C:\WINDOWS\system32\ControlSubX.ocx
2008-01-12 10:11 . 1998-07-12 23:00 15,360 --a------ C:\WINDOWS\system32\inetfr.DLL
2008-01-12 10:11 . 1998-07-13 00:00 9,728 --a------ C:\WINDOWS\system32\PCCLPFR.DLL
2008-01-12 10:06 . 2008-01-12 10:06 <DIR> d-------- C:\Programme\TriBase
2008-01-12 01:39 . 2008-01-12 01:39 <DIR> d-------- C:\Programme\FLV to AVI MPEG WMV 3GP MP4 iPod Converter
2008-01-12 01:28 . 2008-01-12 01:28 <DIR> d-------- C:\Programme\YouTube Downloader 3000
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 01:42 3,888 ----a-w C:\WINDOWS\system32\drivers\NTHANDLE.SYS
2008-01-30 19:36 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\.tswebeditor
2008-01-01 06:06 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\codeblocks
2008-01-01 06:00 357 ----a-w C:\Dokumente und Einstellungen\***\.cb_layout.bin
2007-12-30 15:03 --------- d-----w C:\Programme\SnakeZ
2007-12-29 19:33 --------- d-----w C:\Programme\Selida 2
2007-12-26 15:18 --------- d-----w C:\Programme\A-Coder2 FileShredder
2007-12-26 15:14 --------- d-----w C:\Programme\Easy Eraser V.1.2
2007-12-24 01:40 --------- d-----w C:\Programme\CodeBlocks
2007-12-22 20:57 --------- d-----w C:\Programme\sixteen tons entertainment
2007-12-22 01:20 --------- d-----w C:\Programme\Microangelo Toolset 6
2007-12-22 00:39 --------- d-----w C:\Programme\Axialis
2007-12-22 00:39 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Axialis
2007-12-16 13:41 --------- d-----w C:\Programme\Bridge Builder
2007-12-16 13:25 253,952 ------w C:\WINDOWS\Setup1.exe
2007-12-16 13:25 --------- d-----w C:\Programme\Little CS
2007-12-15 16:20 --------- d-----w C:\Programme\Steam
2007-12-14 20:10 --------- d-----w C:\Programme\FDRLab
2007-12-12 22:15 --------- d-----w C:\Programme\Ashampoo
2007-12-12 13:36 --------- d-----w C:\Programme\SoftMaker Viewer
2007-12-11 21:49 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\TrueCrypt
2007-12-09 21:40 74,752 ------w C:\WINDOWS\ST6UNST.EXE
2007-12-09 21:40 --------- d-----w C:\Programme\BEWERBUNGS-MASTER
2007-12-09 20:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HHD Software
2007-12-09 20:08 --------- d-----w C:\Programme\HHD Software
2007-12-09 19:27 --------- d-----w C:\Programme\FoxServ
2007-12-09 17:55 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
2007-12-09 17:54 --------- d-----w C:\Programme\FileZilla Client
2007-12-08 12:48 --------- d-----w C:\Programme\REFLEX
2007-12-06 16:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2007-12-06 15:46 --------- d-----w C:\Programme\ABC Amber PDF Converter
2007-12-05 14:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Equation Wizard
2007-12-04 16:41 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2007-12-04 16:34 --------- d-----w C:\Programme\OpenOffice.org 2.3
2007-11-10 00:45 737,280 ----a-w C:\WINDOWS\iun6002.exe
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
1996-12-02 17:44 582,144 ----a-w C:\Programme\Gemeinsame Dateien\dao350.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 17:00 68856]
"ProxyWay"="C:\Programme\ProxyWay\proxyway.exe" [2008-01-13 03:12 374272]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"LaunchApp"="Alaunch" []
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 21:50 88204 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-19 09:42 16248320 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-07-19 09:42 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2006-07-19 09:41 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 06:13 766041]
"ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 11:15 45056]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 15:00 345088]
"Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-06-07 20:18 208896]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42 70952]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-07-12 15:48 438272]
"Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 22:12 579584]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2006-07-14 12:13 471040]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40 413696]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 12:35 327680]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1179505828\ee\AOLSoftware.exe" [2006-11-17 15:16 50736]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-16 12:51 135168]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-16 12:51 155648]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-16 12:51 131072]
"rraulfwx"="C:\untsxvgi.bat" [ ]
"nojnfshc"="C:\eqgmctac.bat" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"AVGCtrl"="C:\Programme\AVPersonal\AVGNT.exe" [ ]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-17 12:48 249896]
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-19 18:45 185896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]
C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-06-29 10:45:00 45056]
AOL 9.0 Tray-Symbol.lnk - C:\Programme\AOL 9.0\aoltray.exe [2004-05-10 21:05:50 156784]
R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys [2004-12-17 17:14]
S2 int15;int15;C:\WINDOWS\system32\drivers\int15.sys [2006-06-02 13:59]
S2 ntfont;ntfont driver;C:\WINDOWS\system32\DRIVERS\ntfont.sys [2000-06-08 16:06]
S2 sm;SECUREMAKER driver;C:\WINDOWS\system32\drivers\sm.sys [2007-07-05 16:10]
S2 tvicport;tvicport;C:\WINDOWS\system32\drivers\tvicport.sys [2006-06-02 13:59]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2003-12-19 20:15]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-02-23 00:04]
S3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-20 03:20]
S3 psdfilter;psdfilter;C:\WINDOWS\system32\Drivers\psdfilter.sys [2006-04-07 20:17]
S3 psdvdisk;psdvdisk;C:\WINDOWS\system32\Drivers\psdvdisk.sys [2006-03-08 17:10]
S3 SecureSrv;SecureSrv;C:\Programme\Hide My IP 2007\SecureSrv.exe [2007-12-18 11:22]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89550b0f-a80c-11db-8e0d-00197d196713}]
\Shell\AutoRun\command - F:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-01-12 22:33:48 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
"2008-01-31 18:57:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 12:57:08
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-03 12:57:58
ComboFix-quarantined-files.txt 2008-02-03 11:57:56
ComboFix3.txt 2007-10-15 17:35:54
ComboFix4.txt 2007-10-15 13:20:38
ComboFix2.txt 2007-10-15 18:51:24
.
2008-01-12 16:44:26 --- E O F ---
|
|
03.02.2008, 13:17
| #7 |
| | Backdoor Graybird gefunden Und hier die neue HJT Log file: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:59:34, on 03.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\***\HiJackThis202.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\***\Eigene Dateien\ws.js R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\tbcore3U.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0 O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1179505828\ee\AOLSoftware.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [rraulfwx] C:\untsxvgi.bat O4 - HKLM\..\Run: [nojnfshc] C:\eqgmctac.bat O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ProxyWay] C:\Programme\ProxyWay\proxyway.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: WinSweep.lnk = C:\Programme\WinSweep\WinSweep.Exe O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Acer Empowering Technology.lnk = ? O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Launch Manager\WHQL\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Launch Manager\WHQL\ICQ6\ICQ.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\securenet.dll O16 - DPF: {2A96D88B-55DD-46de-8235-455759988526} (Intel Content Update) - http://vvswupdate.intel-support.com/gtwebcheck/prod_en/161/install/gtdownin.cab O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KXHCM10 Control) - http://camera2.atmark.ne.jp/kxhcm10.ocx O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://82.94.95.81/activex/AMC.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.webcamkoenig.de/files/AxisCamControl.cab O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://webcam6.hrz.tu-darmstadt.de/activex/AMC.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC091D7-8753-4F1B-B492-E533E216B4F5}: NameServer = 192.168.178.1 O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: SecureSrv - Unknown owner - C:\Programme\Hide My IP 2007\SecureSrv.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 11056 bytes |
|
| Themen zu Backdoor Graybird gefunden |
| adobe, avgnt.exe, avira, backdoor, backdoor trojaner, bho, ctfmon.exe, defender, einstellungen, graybird, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, jusched.exe, logfile, magix, object, pop-up-blocker, programm, realtek, rundll, s-1-5-18, software, stick, symantec, system, trojaner, unknown file in winsock lsp, urlsearchhook, virus, windows, windows xp |
Hybrid-Darstellung
