Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Escan findet wieder "backdoor (ircbot) trojans"

Escan findet wieder "backdoor (ircbot) trojans"


Plagegeister aller Art und deren Bekämpfung: Escan findet wieder "backdoor (ircbot) trojans"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.04.2008, 15:51   #1
virus
Gast
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Du hast Neuaufgesetz???

Bitte lass mal Malwarebytes laufen und poste den Report
Bitte auch ComboFix laufen lassen vorher aber CCleaner anwenden.
ComboFix report bitte posten.

Bitte fixe folgende Einträge mit Hijackthis:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

Alt 09.04.2008, 22:29   #2
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Zitat:
Zitat von virus Beitrag anzeigen
Du hast Neuaufgesetz???
Ja, vor 2-3 Monaten, schätze ich. Habe auch dummerweise nicht das eingeschränkte Benutzerkonto genutzt fürs Surfen

Also hier ist der Anti-Malware-Log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 603

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 173258
Scan Dauer: 1 hour(s), 53 minute(s), 20 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Und auch der Combofix-Log, nach Ausführung von CCleaner:

Code:
ATTFilter
ComboFix 08-04-09.1 - xxx 2008-04-09 23:22:30.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2008-03-09 bis 2008-04-09  ))))))))))))))))))))))))))))))
.

2008-04-09 17:38 . 2008-04-09 17:38	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-04-09 17:37 . 2008-04-09 17:37	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-09 08:03 . 2008-03-20 09:56	1,846,016	---------	C:\WINDOWS\system32\dllcache\win32k.sys
2008-04-09 08:03 . 2008-02-20 08:52	282,624	---------	C:\WINDOWS\system32\dllcache\gdi32.dll
2008-04-09 08:03 . 2008-02-20 07:20	147,968	---------	C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-04-09 08:03 . 2008-02-20 20:50	45,568	---------	C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-04-08 21:44 . 2008-04-08 22:08	<DIR>	d--------	C:\escan
2008-04-08 14:24 . 2008-04-08 14:24	0	--a------	C:\WINDOWS\oodcnt.INI
2008-04-07 21:24 . 2008-04-07 21:24	<DIR>	d--------	C:\WINDOWS\system32\xircom
2008-04-07 21:24 . 2008-04-07 21:24	<DIR>	d--------	C:\WINDOWS\system32\restore
2008-04-07 21:24 . 2008-04-07 21:24	<DIR>	d--------	C:\WINDOWS\srchasst
2008-04-07 21:24 . 2008-04-07 21:24	<DIR>	d--------	C:\Programme\microsoft frontpage
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\zts2.exe
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\system32\vcmgcd32.dll
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\system32\iifgfgf.dll
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\rundll16.exe
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\rundl132.dll
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\logo1_.exe
2008-04-07 21:00 . 2005-06-21 19:33	153,600	--a------	C:\WINDOWS\R.COM
2008-04-07 21:00 . 2004-08-04 01:58	140,800	--a------	C:\WINDOWS\system32\T.COM
2008-04-07 21:00 . 2008-04-08 17:08	50	--a------	C:\WINDOWS\Lic.xxx
2008-04-05 16:20 . 2008-04-09 20:00	1,080	--a------	C:\WINDOWS\system32\settingsbkup.sfm
2008-04-05 16:20 . 2008-04-09 20:00	1,080	--a------	C:\WINDOWS\system32\settings.sfm
2008-04-05 16:19 . 2008-04-09 20:00	4,958,588	--a------	C:\WINDOWS\{00000001-00000000-00000008-00001102-00000004-20021102}.CDF
2008-04-05 16:19 . 2008-04-09 20:00	31,056	--a------	C:\WINDOWS\system32\BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00	31,056	--a------	C:\WINDOWS\system32\BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00	30,528	--a------	C:\WINDOWS\system32\BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00	30,528	--a------	C:\WINDOWS\system32\BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00	11,564	--a------	C:\WINDOWS\system32\DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:18 . 2006-08-11 15:14	86,446	--a------	C:\WINDOWS\system32\instwdm.ini
2008-04-05 16:15 . 2008-04-05 16:15	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Logitech
2008-04-05 15:41 . 2008-04-05 15:41	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\teamspeak2
2008-04-05 15:41 . 2008-04-05 15:41	34,064	--a------	C:\WINDOWS\system32\lhacm.acm
2008-04-03 09:37 . 2008-04-03 09:37	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-03-30 00:53 . 2008-03-30 00:53	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\vlc
2008-03-26 19:00 . 2008-04-08 18:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-03-23 00:53 . 2007-06-17 13:43	186,592	--a------	C:\WINDOWS\system32\drivers\windrvr6.sys
2008-03-23 00:53 . 2007-06-17 13:46	114,688	--a------	C:\WINDOWS\system32\wdapi901.dll
2008-03-19 15:10 . 2008-04-09 19:54	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Free Download Manager
2008-03-19 15:10 . 2008-03-19 15:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-03-19 14:50 . 2008-03-19 14:50	<DIR>	d--------	C:\Programme\DFX
2008-03-19 14:50 . 2008-03-19 14:50	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DFX
2008-03-15 14:53 . 2008-04-09 14:53	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FileZilla
2008-03-15 13:35 . 2008-03-15 13:35	<DIR>	d--------	C:\Programme\Microsoft Silverlight
2008-03-12 17:48 . 2008-03-12 17:48	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sports Interactive
2008-03-12 17:38 . 2008-03-12 17:38	2,550	--a------	C:\WINDOWS\system32\sdbackup.reg
2008-03-12 17:23 . 2008-03-12 17:23	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\SecuROM
2008-03-12 17:23 . 2008-03-12 17:23	107,888	--a------	C:\WINDOWS\system32\CmdLineExt.dll
2008-03-12 17:14 . 2008-03-12 17:14	<DIR>	d--h-----	C:\Programme\Zero G Registry
2008-03-12 17:13 . 2008-03-12 17:13	<DIR>	d--h-----	C:\Dokumente und Einstellungen\xxx\InstallAnywhere
2008-03-11 19:55 . 2008-03-11 19:55	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\RouterControl
2008-03-11 19:54 . 2008-01-15 15:20	330,336	--a------	C:\WINDOWS\RCoUn0.exe
2008-03-11 19:54 . 2008-03-11 19:54	1,759	-r-------	C:\WINDOWS\RouterControl_Uninstall.in
2008-03-11 19:00 . 2008-04-05 16:15	<DIR>	d--------	C:\Programme\Logitech
2008-03-11 19:00 . 2008-03-11 19:00	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-03-11 18:16 . 2008-03-11 21:27	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mp3tag
2008-03-10 00:46 . 2008-03-10 00:46	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ImgBurn
2008-03-10 00:22 . 2008-03-10 00:34	<DIR>	d--------	C:\WINDOWS\system32\XPSViewer
2008-03-10 00:21 . 2008-03-10 00:21	<DIR>	d--------	C:\Programme\Reference Assemblies
2008-03-09 23:57 . 2006-10-26 20:56	32,592	--a------	C:\WINDOWS\system32\msonpmon.dll
2008-03-09 23:57 . 2006-10-26 20:58	30,512	--a------	C:\WINDOWS\system32\mdimon.dll
2008-03-09 23:56 . 2008-03-09 23:56	<DIR>	d--------	C:\Programme\Microsoft Works
2008-03-09 23:55 . 2008-03-09 23:55	<DIR>	d--------	C:\Programme\MSBuild
2008-03-09 23:53 . 2008-03-09 23:55	<DIR>	d--------	C:\WINDOWS\SHELLNEW
2008-03-09 23:53 . 2008-04-09 08:07	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-09 22:31 . 2008-03-09 22:31	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\gtk-2.0
2008-03-09 22:31 . 2008-04-04 20:47	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gconfd
2008-03-09 22:31 . 2008-04-04 20:46	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gconf
2008-03-09 22:30 . 2008-03-09 23:21	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gnucash
2008-03-09 22:30 . 2008-03-09 22:30	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gnome2_private
2008-03-09 22:30 . 2008-03-09 22:30	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gnome2
2008-03-09 21:09 . 2008-03-09 21:09	<DIR>	d--------	C:\O&O

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 21:24	592,672	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-09 21:23	18,050,848	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-09 21:20	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-09 18:00	57,512	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-09 18:00	243,512	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-08 16:20	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Winamp
2008-04-05 14:19	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-04-05 14:18	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Creative
2008-03-20 07:56	1,846,016	----a-w	C:\WINDOWS\system32\win32k.sys
2008-03-08 20:40	---------	d-----w	C:\Programme\FreePDF_XP
2008-03-08 20:13	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Media Player Classic
2008-03-08 16:09	---------	d-----w	C:\Programme\Winamp Remote
2008-03-08 16:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-03-08 15:30	151,756	----a-w	C:\WINDOWS\HAM Uninstaller.exe
2008-03-08 15:18	---------	d-----w	C:\Programme\Gemeinsame Dateien\Java
2008-03-08 15:02	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-08 14:54	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\InstallShield
2008-03-08 14:31	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird
2008-03-08 14:31	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Talkback
2008-03-08 14:25	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-08 14:16	91,700	----a-w	C:\WINDOWS\system32\drivers\klin.dat
2008-03-08 14:16	85,860	----a-w	C:\WINDOWS\system32\drivers\klick.dat
2008-03-08 14:15	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-03-08 13:57	---------	d-----w	C:\Programme\MSXML 6.0
2008-03-08 13:57	---------	d-----w	C:\Programme\MSXML 4.0
2008-03-08 10:52	---------	d-----w	C:\Programme\Creative
2008-03-08 10:43	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-08 10:26	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-03-08 10:25	---------	d-----w	C:\Programme\Windows Media Connect 2
2008-02-20 18:50	45,568	----a-w	C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 06:52	282,624	----a-w	C:\WINDOWS\system32\gdi32.dll
2008-02-08 17:37	219,664	----a-w	C:\WINDOWS\system32\klogon.dll
2008-01-11 05:49	44,544	------w	C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-01-10 12:16	159,839	----a-w	C:\WINDOWS\system32\xvidvfw.dll
2008-01-10 12:15	755,027	----a-w	C:\WINDOWS\system32\xvidcore.dll
.

------- Sigcheck -------

2004-08-04 01:58  14336  65a819b121eb6fdab4400ea42bdffe64	C:\WINDOWS\system32\svchost.exe

2005-03-02 20:19  578560  4c90159a69a5fd3eb39c71411f28fcff	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-10-07 12:58  579584  78785eff8cb90cec1862a4ccfd9a3c3a	C:\WINDOWS\system32\user32.dll

2004-08-04 01:57  82944  d569240a22421d5f670bb6fb6dd522b5	C:\WINDOWS\system32\ws2_32.dll

2007-10-07 12:58  512512  fdd544cd9a10443a242c2ce7489693e9	C:\WINDOWS\system32\winlogon.exe

2007-10-07 12:57  182656  bc84c4f67d0e880b0c46dc0ce2b8cbaa	C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 00:00  29056  4448006b6bc60e6c027932cfc38d6855	C:\WINDOWS\system32\drivers\ip6fw.sys

2005-03-02 11:11  2059264  ae8364004bbfd70461d2ef34888d3360	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 09:06  2061696  9b9ca27ad315c02b71510238574894b2	C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f	C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-10-07 13:03  2023424  6ad938f00c02111a70a832080c9a2614	C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 20:11  2181888  eb5538a452e0e99169e2b6cdb62ff9d2	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 18:06  2184448  e1de7a10d46959560c3b617227d95c19	C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894	C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-10-07 12:57  2143744  f54af55d175bf7406ab634d2fbf19cc9	C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894	C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-10-07 12:55  1036288  331ed93570baf3cfe30340298762cd56	C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"AVP"="D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 19:36 227856]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2007-10-07 12:56 172544]
"Diamondback"="d:\Programme\Razer\Diamondback\razerhid.exe" [2007-02-14 12:15 147456]
"amd_dc_opt"="D:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 12:06 77824]
"Launch LGDCore"="C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 18:57 2095640]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 15:03 93208]
"CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2007-12-07 03:41 124928 C:\WINDOWS\system32\advpack.dll]
"IE7"="advpack.dll" [2007-12-07 03:41 124928 C:\WINDOWS\system32\advpack.dll]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideRunAsVerb"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoStartMenuPinnedList"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoStartMenuPinnedList"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AMD_Display]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 01:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
--a------ 2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
--a------ 2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-08-22 18:05 81920 D:\Programme\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 21:27 312320 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 08:00 33648 D:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LgDevAgt]
--a------ 2007-12-13 18:59 346648 C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 03:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2008-01-07 22:02 495616 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 D:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R2 NMSAccessU;NMSAccessU;d:\Programme\CDBurnerXP\NMSAccessU.exe [2007-10-12 09:34]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
R3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-04-24 23:43]
S1 DumpDrv;Crash Dump Driver;C:\WINDOWS\system32\drivers\DumpDrv.sys [2007-10-07 12:59]
S3 kxwdmdrv;kX WDM Driver Service;C:\WINDOWS\system32\drivers\kx.sys []

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-09 23:24:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-09 23:25:15
ComboFix-quarantined-files.txt  2008-04-09 21:25:09
               8 Verzeichnis(se), 16,026,419,200 Bytes frei
              10 Verzeichnis(se), 16,017,440,768 Bytes frei
.
2008-04-09 06:07:11	--- E O F ---
Erst danach habe ich die Einträge in HijackThis deaktiviert!

Also mir scheint an den Logs nichts auffälliges, aber ich würde ja auch nicht hier fragen, wenn ich es besser wüsste!
Danke für deine/eure Hilfe!
__________________
Alt 10.04.2008, 13:22   #3
virus
Gast
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Bitte folgende Dateinen hier online scanne lassen und Report posten:

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\Lic.xxx
C:\WINDOWS\system32\wdapi901.dll
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe


weisst du evt. um was es sich beim Ordner xxx handelt???

C:\Dokumente und Einstellungen\xxx\.gconfd
C:\Dokumente und Einstellungen\xxx\.gconf
C:\Dokumente und Einstellungen\xxx\.gnucash
C:\Dokumente und Einstellungen\xxx\.gnome2_private
C:\Dokumente und Einstellungen\xxx\.gnome2
C:\O&O
__________________
Alt 10.04.2008, 15:18   #4
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Zitat:
Zitat von virus Beitrag anzeigen
weisst du evt. um was es sich beim Ordner xxx handelt???

C:\Dokumente und Einstellungen\xxx\.gconfd
C:\Dokumente und Einstellungen\xxx\.gconf
C:\Dokumente und Einstellungen\xxx\.gnucash
C:\Dokumente und Einstellungen\xxx\.gnome2_private
C:\Dokumente und Einstellungen\xxx\.gnome2
C:\O&O
Ach so, also "xxx" ist mein ersetzter Loginname. Die genannten Ordner dürften aber von GnuCash aus kommen. Das ist ein Finanzverwaltungsprogramm, was es ursprünglich nur für Linux gab.
Der Ordner O&O gehört wohl zu O&O Defrag, ist aber komplett leer, weshalb ich ihn einfach mal gelöscht habe. Was der da verloren hat, weiß ich allerdings auch nicht.

Scans kommen gleich.

Alt 10.04.2008, 16:23   #5
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll
Das sind keine Datei, sondern nur Ordner. Wurde wohl von eScan angelegt und soll eben verhindern, dass die Dateien erstellt werden können.

Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\Lic.xxx
Code:
ATTFilter
Datei: 	Lic.xxx 
Auslastung: 		0% 	  	  	100% 

Status: 	OK 
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	File not found 
  
A-Squared 	Keine Viren gefunden
AntiVir 	Keine Viren gefunden
ArcaVir 	Keine Viren gefunden
Avast 	Keine Viren gefunden
AVG Antivirus 	Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control 	Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Rising Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden
Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\system32\wdapi901.dll
Code:
ATTFilter
Datei: 	wdfapi.dll 
Auslastung: 		0% 	  	  	100% 

Status: 	OK 
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	No threat detected (more info) 
  
A-Squared 	Keine Viren gefunden
AntiVir 	Keine Viren gefunden
ArcaVir 	Keine Viren gefunden
Avast 	Keine Viren gefunden
AVG Antivirus 	Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control 	Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Rising Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden
Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
Code:
ATTFilter
Datei: 	ntkrnlpa.exe 
Auslastung: 		0% 	  	  	100% 

Status: 	OK 
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	No threat detected (more info) 
  
A-Squared 	Keine Viren gefunden
AntiVir 	Keine Viren gefunden
ArcaVir 	Keine Viren gefunden
Avast 	Keine Viren gefunden
AVG Antivirus 	Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control 	Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Rising Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden
Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
Code:
ATTFilter
Datei: 	ntkrnlpa.exe 
Auslastung: 		0% 	  	  	100% 

Status: 	OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) 
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	No threat detected (more info) 
  
A-Squared 	Keine Viren gefunden
AntiVir 	Keine Viren gefunden
ArcaVir 	Keine Viren gefunden
Avast 	Keine Viren gefunden
AVG Antivirus 	Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control 	Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Rising Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden


Alt 12.04.2008, 12:42   #6
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Hmm, kann keiner mehr helfen?
Ich würde ja nochmal neu aufsetzen, wenn ich wüsste, dass der unliebsame Gast sich dann auch verabschiedet :-\

Alt 12.04.2008, 13:26   #7
virus
Gast
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Hi

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll

Das sind sehrwohl Dateien Wie kommst du darauf dass das keine Dateien sind
Wenn du einmal Google benutzt hättest, wärst du z.B. auf diese Seite gestossen!! Schau dort einmal unter "weitere Informationen"

Bitte lass diese Dateien nun hier oder hier online scannen und poste den Report, danke

Lade bitte einmal folgende Dateien hier hoch:

C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

Du wirst per Mail in wenigen Tagen informiert werden was sich hinter den Dateien verbirgt und ob sie Schadcode enthällt.

Alt 12.04.2008, 14:43   #8
raman
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Wie kommst du darauf, das das Dateien sind? Es sind schon Ordner wie d4m1 vermutet und sie werden auch von Escan erstellt. Ein Grund fuer mich, Escan nicht zu nutzen.

Achte auf den Combofix Eintraege:

2008-04-07 21:01 . 2008-04-07 21:01 <DIR> d-a------ C:\WINDOWS\zts2.exe

<DIR> bedeutet halt directory.
Auch die Dateien
r.com
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

werden von Escan erzeugt

Die Datei ntkrnlpa.exe aus der sigcheck sektion ist genauso vertrauenswuerdig wie die dort aufgefuehrte C:\WINDOWS\explorer.exe. Davon wuerde mich ein VT Scan mehr interessieren.
__________________
MfG Ralf

Antwort

Themen zu Escan findet wieder "backdoor (ircbot) trojans"
antivirus, appinit_dlls, backdoor, bho, browser, cdburnerxp, computer, dateien gelöscht, dateisystem, desktop, drivers, failed, fehlalarm, free download, helfen, help, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, launch, logfile, maßnahme, mozilla, mozilla thunderbird, neu aufgesetzt, office 2007, prozesse, registrierungsdatenbank, regsvr32, rundll, senden, software, spyware, system, urlsearchhook, vielen dank, virus, windows, windows script host, windows xp, windows\system32\drivers


« Brauche eine Info.Bitte | hTML/Infected.WebPage.Gen »


Ähnliche Themen: Escan findet wieder "backdoor (ircbot) trojans"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Windows 8: Malwarebyte findet "Backdoor.Bot"
    Log-Analyse und Auswertung - 16.09.2014 (9)
  3. Windows 8.1: Avira findet "TR/Swrort.A.10259" in "C:\Program Files (x86)\Google\Chrome\Application\old_chrome.exe"
    Plagegeister aller Art und deren Bekämpfung - 23.07.2014 (3)
  4. Win 7 32 Bit - Avira findet immer wieder diesen Virus "HTML/Malicious.Flash.Gen"
    Log-Analyse und Auswertung - 05.10.2013 (12)
  5. Malwarebytes findet "Trojan.Agent" - dieser ist aber nach löschen jedesmal wieder da
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (14)
  6. Avira findet Malware "TR/ATRAPS.Gen", kann nicht gelöscht werden, kommt immer wieder?
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (3)
  7. Bundespolizei Ukash Trojaner ; "Xubuntu 12.04" findet Laufwerk "C" nicht.
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  8. Avira findet "TR.Swizzor.aafj" "TR.Swisyn.aiwd.1"
    Log-Analyse und Auswertung - 22.08.2011 (4)
  9. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  10. Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor"
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (9)
  11. Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker"
    Log-Analyse und Auswertung - 16.12.2008 (2)
  12. Backdoor "TR/DelSelf.H" und "TR/Dldr.FraudL.vahk"
    Log-Analyse und Auswertung - 21.10.2008 (14)
  13. Schon wieder "copy of mbr" Backdoor von Profis installiert?
    Log-Analyse und Auswertung - 18.10.2008 (1)
  14. WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!!
    Plagegeister aller Art und deren Bekämpfung - 06.02.2007 (2)
  15. AntiVir findet und löscht "TR/Dldr.Small.ayl.0" -Der Trojaner kommt aber immer wieder
    Log-Analyse und Auswertung - 24.02.2006 (9)
  16. "whenu.savnow" & "cydoor.topicks.a" von escan entdeckt
    Plagegeister aller Art und deren Bekämpfung - 14.02.2006 (3)
  17. HILFE "Auto:Blank" und "Best of" machen mich fertig, hier mein Escan!!
    Log-Analyse und Auswertung - 09.04.2005 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Escan findet wieder "backdoor (ircbot) trojans" - Du hast Neuaufgesetz??? Bitte lass mal Malwarebytes laufen und poste den Report Bitte auch ComboFix laufen lassen vorher aber CCleaner anwenden. ComboFix report bitte posten. Bitte fixe folgende Einträge mit - Escan findet wieder "backdoor (ircbot) trojans"...
Archiv
Du betrachtest: Escan findet wieder "backdoor (ircbot) trojans" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131