| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32:Patched-FF [Trj]Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
14.04.2008, 11:49
| #1 |
 | ![Win32:Patched-FF [Trj] - Standard](images/icons/icon1.gif){kind=icon} Win32:Patched-FF [Trj] Hallo, wie ich befürchtet habe, ist mein system nicht ganz sauber gewesen, nach dem befall von http://www.trojaner-board.de/51325-w...t-ubx-trj.html zur problematik: mein pc war über nacht im standb. modus. heute morgen hab ich ihn dann gestartet, er ist auch einwandfrei wieder angefahren nur war das desktop eingefrohren. die desktop verküpfungen liesen sich anklicken, nur getan hat sich nichts. die "starttaste" in der taskleiste hat überhaupt nicht reagiert wenn man mit der maus darüber gefahren ist. weil nichts mehr ging hab ich den pc neu gestartet, wobei dann die oben genannten probleme weg waren. außer, dass ich nicht mehr ins internet konnte und auf dem router war auch das licht für "online" aus. selbst nach mehrmaligem neustarten ist es nicht mehr angegangen. folgende maßnahmen hab ich durchgeführt. pc im abesichtern modus gestartet(internet ging auch da nicht) avast laufen lassen. der dann gleich meldung bebracht hat, dass er vor dem booten scannen möchte da er einen virus gefunden hat. scanbericht Code:
ATTFilter 04/14/2008 05:49
Scan aller lokalen Laufwerke
Datei C:\Programme\Alwil Software\Avast4\DATA\moved\sens.dll.vir ist infiziert von Win32:Patched-FF [Trj], Reparieren: Fehler 42060, Reparieren: Fehler 42060, In Container verschieben: Fehler 0xC0000034 {Der Objektname wurde nicht gefunden.}, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Verschoben
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP7\A0006568.dll ist infiziert von Win32:Patched-FF [Trj], Verschoben
Anzahl durchsuchter Ordner: 8284
Anzahl der geprüften Dateien: 98735
Anzahl infizierter Dateien: 2
danach hab ich den pc normal neu gestartet. darauf ließen sich die dateien dann in den container verschieben und ich hab sie dann gelöscht. internet ging immer noch nicht. also pc wieder neu gestarte, avast wieder laufen lassen, der wieder diese dateien gefunden hat. ich hab sie jetzt wieden in den cotainer verfrachtet, wo sie jetzt noch sind. smitfraud hab ich im abgesichtern modus laufen lassen hier ist der log Code:
ATTFilter SmitFraudFix v2.309
Scan done at 11:48:24,98, 14.04.2008
Run from D:\virensucher\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
(ich habe die hosts weg gelassen)
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Reboot
Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt
Problem while deleting C:\WINDOWS\system32\systems.txt
»»»»»»»»»»»»»»»»»»»»»»»» End
wie soll ich jetzt weiter vor gehen? wäre schön wenn sich mir einer an nimmt, der aber auch am ball bleibt, danke. hijackthis und malwarebyets logs folgen noch. gruß |
|
14.04.2008, 11:57
| #2 |
| | Win32:Patched-FF [Trj]Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:34:54, on 14.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Anti-Dialer\a2service.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Acer\Acer eConsole\MediaServerService.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Acer\Acer eMode Management\AspireService.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\a-squared Anti-Dialer\a2adguard.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Alwil Software\Avast4\ashSimpl.exe C:\Programme\Alwil Software\Avast4\ashChest.exe D:\virensucher\09.04hithis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60 O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150666801812 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 8514 bytes |
|
14.04.2008, 12:17
| #3 |
| Gast | Win32:Patched-FF [Trj] Hi Urmel
__________________Schön hört man wieder einmal von dir  Also dein Logfile sieht ok aus aber von PartyPoker würde ich dir abraten  Noch ne frage: "D:\virensucher\09.04hithis.exe" sollte das HijackThis sein? Bitte deaktiviere einmal die Systemwiederherstellung und boote nochmals neu, danchach kannst du sie wieder aktivieren. Dafür gehst du auf den Arbeitsplatz mit rechtsklick gehst nun auf Eigenschaften und dann Systemwiederherstellung und machst ein häcklein. Nun sollte eigentlich "C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP7\A0006568.dll" nicht mehr gemeldet werden Lass diese Datei hier online scannen und poste bitte den Report: C:\Programme\Alwil Software\Avast4\DATA\moved\sens.dll Bitte lass einmal ComboFix laufen und poste den Report Bitte schalte für den Scan von ComboFix deinen Guard ab, da es sein kann dass er ComboFix als Malware erkennt. |
|
14.04.2008, 12:27
| #4 | |||
| | Win32:Patched-FF [Trj] hi, so schnell gehts wa! Zitat:
Zitat:
soll ich die dateien im container löschen oder stehen lassen? Zitat:
|
|
14.04.2008, 12:34
| #5 |
| Gast | Win32:Patched-FF [Trj] PartyPoker und PokerStars und all dieses Zeug is nicht sehr Vertrauenswürdig Ich spreche aus Erfahrung Hatte auch lange Zeit PokerStars und das mir ganz schön viel böses Zeug geholt... Aber nun zu deinem Problem also die Dateien kannst du vorerst dort drin behalten....versuch doch mal sie mit KillBox (Link in meinem Anhang) zu löschen. Und bevor du ComboFix laufen lässt CCleaner benutzen. |
|
14.04.2008, 23:59
| #6 | |||
| | Win32:Patched-FF [Trj] hi, Zitat:
ich hab die dateien über avast gelöscht. Zitat:
Zitat:
combofix hat erst bei zweiten anlauf geklappt. beim ersten mal ist es durchgelaufen und dann hängengelieben wenn es wieder auf den desktop springt, so dass nur das hintergrundbild gezeigt wurde. musste dann denn stecker vom pc ziehen, da sich nichts mehr getan hat. Code:
ATTFilter ComboFix 08-04-13.3 - Andreas 2008-04-15 0:39:30.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1075 [GMT 2:00]
ausgeführt von:: D:\Download\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-14 bis 2008-04-14 ))))))))))))))))))))))))))))))
.
2008-04-14 05:39 . 2008-04-14 05:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-04-10 14:46 . 2005-11-30 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Vorlagen
2008-04-10 14:46 . 2005-11-30 10:55 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Startmenü
2008-04-10 14:46 . 2005-12-16 05:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Netzwerkumgebung
2008-04-10 14:46 . 2005-11-30 10:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen
2008-04-10 14:46 . 2008-04-10 14:46 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Favoriten
2008-04-10 14:46 . 2008-04-10 15:21 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Eigene Dateien
2008-04-10 14:46 . 2005-12-16 05:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Druckumgebung
2008-04-10 14:46 . 2005-11-30 04:41 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\You've Got Pictures Screensaver
2008-04-10 14:46 . 2005-12-16 05:36 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Symantec
2008-04-10 14:46 . 2008-04-10 14:46 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ATI
2008-04-10 14:46 . 2006-06-27 18:36 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\AOL
2008-04-10 14:46 . 2008-04-10 14:46 <DIR> dr-h----- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten
2008-04-10 14:46 . 2008-04-10 14:46 <DIR> d-------- C:\Dokumente und Einstellungen\Internet
2008-04-09 23:34 . 2008-04-14 07:18 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-04-09 23:34 . 2008-04-09 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TuneUp Software
2008-04-09 23:34 . 2008-04-09 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-04-09 23:34 . 2008-04-09 23:34 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-04-09 23:34 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-04-09 23:29 . 2008-04-09 23:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-09 23:13 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-04-09 23:13 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-04-09 23:13 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-04-09 23:13 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-04-09 23:13 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-04-09 23:13 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-09 23:13 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-04-09 23:13 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-04-09 23:13 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-04-09 23:13 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-09 23:11 . 2006-09-02 20:33 6,144 --a------ C:\WINDOWS\system32\msmmas.dll
2008-04-08 15:30 . 2008-04-08 15:30 3,968 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-04-05 22:50 . 2008-04-05 22:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-05 22:50 . 2008-04-05 22:50 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-05 15:53 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-05 15:53 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-05 15:53 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-05 15:53 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-05 15:53 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-05 15:53 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-05 15:53 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-05 15:47 . 2008-04-14 11:49 3,720 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-05 00:23 . 2008-04-05 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-04-04 19:40 . 2008-04-08 20:36 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-04 19:40 . 2008-04-04 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-04-04 19:40 . 2008-04-04 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-04 15:18 . 2008-04-04 15:18 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-03-29 03:21 . 2008-03-29 03:21 <DIR> d-------- C:\Programme\PC Inspector File Recovery
2008-03-29 03:21 . 2002-02-18 19:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-12 18:58 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-12 18:57 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-04-10 00:16 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Skype
2008-04-08 14:57 --------- d-----w C:\Programme\Google
2008-04-04 12:34 --------- d-----w C:\Programme\a-squared Anti-Dialer
2008-03-29 01:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-29 01:06 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\ATI
2008-03-28 22:12 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\teamspeak2
2008-03-28 12:33 --------- d-----w C:\Programme\Winamp
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-11 21:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-03-11 21:23 --------- d-----w C:\Programme\ATI Technologies
2008-03-09 23:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-09 23:03 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-09 22:56 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-03-05 07:29 --------- d-----w C:\Programme\Java
2008-03-03 03:12 --------- d-----w C:\Programme\Lavalys
2008-03-03 01:14 --------- d-----w C:\Programme\Driver Cleaner Pro
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-29 00:24 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SystemXXL
2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag(2)(2).dll
2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx(2)(2).dll
2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag(2)(2).dll
2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx(2)(2).dll
2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag(2)(2).dll
2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:22 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2(2)(2).dll
2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag(2)(2).dll
2008-02-25 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-09-29 22:40 22,328 ----a-w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\PnkBstrK.sys
2006-10-07 17:50 0 ----a-w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\wklnhst.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}]
2007-12-31 18:58 806912 --a------ C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2007-12-31 18:58 806912]
[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll [2007-12-31 18:58 806912]
[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 19:15 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 06:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 06:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 18:00 397312]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 01:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-30 04:41 98304]
"AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07 114688]
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 06:00 98304]
"a-squared"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]
"a-squared Anti-Dialer"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:00 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
--a------ 2007-12-04 06:57 2494464 C:\Programme\Electronic Arts\EADM\Core.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
--a------ 2005-09-21 13:48 425984 C:\Programme\Acer\Acer eConsole\MediaSync.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2005-11-30 04:40 26112 C:\Programme\Real\RealPlayer\RealPlay.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-02-09 16:00 25388584 C:\Programme\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 07:28 36352 C:\Programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142 Server\\BF2142VoipServer_w32ded.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 08:00]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programme\a-squared Anti-Dialer\a2service.exe" [2008-04-03 22:56]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2007-11-11 12:29]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 06:00]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-09 23:34]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
"2008-04-14 22:33:31 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 00:41:07
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-15 0:41:27
ComboFix-quarantined-files.txt 2008-04-14 22:41:25
22 Verzeichnis(se), 70,432,256,000 Bytes frei
24 Verzeichnis(se), 70,430,130,176 Bytes frei
.
2008-04-09 18:30:28 --- E O F ---
|
|
16.04.2008, 00:18
| #7 |
| | Win32:Patched-FF [Trj] so alles gelöscht und nun folgen die auswertungen C:\WINDOWS\system32\aswBoot.exe Code:
ATTFilter Datei aswBoot.exe empfangen 2008.04.16 00:38:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.15.1 2008.04.15 -
AntiVir 7.6.0.85 2008.04.15 -
Authentium 4.93.8 2008.04.16 -
Avast 4.8.1169.0 2008.04.15 -
AVG 7.5.0.516 2008.04.15 -
BitDefender 7.2 2008.04.15 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5702 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 -
F-Secure 6.70.13260.0 2008.04.16 -
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.15 -
Ikarus T3.1.1.26 2008.04.15 -
Kaspersky 7.0.0.125 2008.04.16 -
McAfee 5274 2008.04.15 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.11.00 2008.04.15 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.278 2008.04.15 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.15 -
weitere Informationen
File size: 1146232 bytes
MD5...: 4108ed9980f581f502c1d72c0d7f77da
SHA1..: b4894fa11ebddb41ab5c61f5aba731a07fa17efe
SHA256: 768fafa656e91c7c6896f37f9a4470f4a9ea55291f886d6e2c8ae958f6894aab
SHA512: b3f0295c4a9f12c7d7800e74990ce50cf2903873fece68c1c50fbd1dccbc6e44
4e3f393a4e25bb6262d7d2aa9b0843141963dcecc1efafc86fd15950182d6d14
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1034420
timedatestamp.....: 0x47ed9274 (Sat Mar 29 00:51:00 2008)
machinetype.......: 0x14c (I386)
C:\WINDOWS\system32\Process.exe Code:
ATTFilter Datei Process.exe empfangen 2008.04.16 00:38:19 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/32 (21.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.15.1 2008.04.15 Win-AppCare/PrcViewer.53248
AntiVir 7.6.0.85 2008.04.15 -
Authentium 4.93.8 2008.04.16 -
Avast 4.8.1169.0 2008.04.15 -
AVG 7.5.0.516 2008.04.15 -
BitDefender 7.2 2008.04.15 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 Tool.Prockill
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5702 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 -
F-Secure 6.70.13260.0 2008.04.16 -
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.15 Misc/PrcViewer
Ikarus T3.1.1.26 2008.04.15 -
Kaspersky 7.0.0.125 2008.04.16 -
McAfee 5274 2008.04.15 potentially unwanted program PrcViewer
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 Win32/PrcView
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 Application/Processor
Prevx1 V2 2008.04.16 -
Rising 20.40.11.00 2008.04.15 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.278 2008.04.15 Aplicacion/Processor.20
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.15 -
weitere Informationen
File size: 53248 bytes
MD5...: 7397f6ee4a9601a123b645c0cd428017
SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0
SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de
SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc
20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x402b42
timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003)
machinetype.......: 0x14c (I386)
C:\WINDOWS\system32\dumphive.exe Code:
ATTFilter Datei dumphive.exe empfangen 2008.04.16 00:39:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.15.1 2008.04.15 -
AntiVir 7.6.0.85 2008.04.15 -
Authentium 4.93.8 2008.04.16 -
Avast 4.8.1169.0 2008.04.15 -
AVG 7.5.0.516 2008.04.15 -
BitDefender 7.2 2008.04.15 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5702 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 -
F-Secure 6.70.13260.0 2008.04.16 -
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.15 -
Ikarus T3.1.1.26 2008.04.15 -
Kaspersky 7.0.0.125 2008.04.16 -
McAfee 5274 2008.04.15 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.11.00 2008.04.15 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.278 2008.04.15 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.15 -
weitere Informationen
File size: 51200 bytes
MD5...: 21868b2d22c726d94d98f15825d4134b
SHA1..: b8ecd21f17fdd3845e0eb3c52496a1353a856523
SHA256: 4a0202e069e3c1029ecb1f72639a7e35ccca28e1a81a7ca08d5f9206b4dc9363
SHA512: a9de3cab356ed8db4ebd2e85dcc750cd5407bc2ba71485ebf0caca030997a73e
60b0006922d1e1cec434ca41e2b4dfcf98a0703098eaa5182f1b68860601a460
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40b950
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
C:\WINDOWS\system32\WS2Fix.exe Code:
ATTFilter Datei WS2Fix.exe empfangen 2008.04.16 00:41:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.15.1 2008.04.15 -
AntiVir 7.6.0.85 2008.04.15 -
Authentium 4.93.8 2008.04.16 -
Avast 4.8.1169.0 2008.04.15 -
AVG 7.5.0.516 2008.04.15 -
BitDefender 7.2 2008.04.15 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.09 suspicious Trojan/Worm
eTrust-Vet 31.3.5702 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 -
F-Secure 6.70.13260.0 2008.04.16 -
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.15 -
Ikarus T3.1.1.26 2008.04.15 -
Kaspersky 7.0.0.125 2008.04.16 -
McAfee 5274 2008.04.15 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.11.00 2008.04.15 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.278 2008.04.15 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.15 -
weitere Informationen
File size: 25600 bytes
MD5...: 49b5595b1824bea6d850e0ed08b53e43
SHA1..: 5e2b90a2e34bb130b76517890877cb273f5f37b2
SHA256: 8d38a9bf06dbfa27be241d8d342e6d4116a5b70ac79fc67623616485967a0a02
SHA512: bfa8156a8a2c19c885412a92958102fc03cc3a7a20a56fb6baa41c7697825830
1848dc10af611caec1272970df4f7c853d18f9cd665dc041150a62427c9e15db
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x411a90
timedatestamp.....: 0x4704197e (Wed Oct 03 22:36:46 2007)
machinetype.......: 0x14c (I386)
C:\WINDOWS\system32\dllcache\iexplore.exe Code:
ATTFilter Datei iexplore.exe empfangen 2008.04.16 00:54:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.15.1 2008.04.15 -
AntiVir 7.6.0.85 2008.04.15 -
Authentium 4.93.8 2008.04.16 -
Avast 4.8.1169.0 2008.04.15 -
AVG 7.5.0.516 2008.04.15 -
BitDefender 7.2 2008.04.15 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5702 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 -
F-Secure 6.70.13260.0 2008.04.16 -
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.15 -
Ikarus T3.1.1.26 2008.04.15 -
Kaspersky 7.0.0.125 2008.04.16 -
McAfee 5274 2008.04.15 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.11.00 2008.04.15 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.278 2008.04.15 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.15 -
weitere Informationen
File size: 625664 bytes
MD5...: 2d0e5592ab5a46c27daf7ccaff4f5b59
SHA1..: 0295a76d62f9bfe208fcea3655b12dfa60682d6a
SHA256: 728fb2f407ce3d5e96ff56e69f94b361e4ea6e9cd650768e738d0ad73bafa91c
SHA512: d1a0a4c93dbd98aebefedfb2e7bc9fa68133fdffd6378887e7a9d06cf8d98a51
cae6ec608c8f4f218e3685b8dd60d891bdbe8fdd424f38dcc75b9d5220be16ec
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x402e45
timedatestamp.....: 0x47b3b968 (Thu Feb 14 03:45:44 2008)
machinetype.......: 0x14c (I386)
ich habe dies datei bewusst zum schluss gescannt, da wir sie im anderen thread siehe link(http://www.trojaner-board.de/51325-w...tml#post332540) auch scannen haben lassen, mit der gleichen meldung. ich habe die datei gepackt und zu avast geschickt um sie prüfen zu lassen mit dem ergebniss siehe link(http://www.trojaner-board.de/51325-w...tml#post332761) C:\WINDOWS\system32\msmmas.dll Code:
ATTFilter Datei msmmas.dll empfangen 2008.04.16 00:59:09 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/32 (6.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.15.1 2008.04.15 -
AntiVir 7.6.0.85 2008.04.15 -
Authentium 4.93.8 2008.04.16 -
Avast 4.8.1169.0 2008.04.15 -
AVG 7.5.0.516 2008.04.15 -
BitDefender 7.2 2008.04.15 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5702 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 -
F-Secure 6.70.13260.0 2008.04.16 -
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.15 -
Ikarus T3.1.1.26 2008.04.15 -
Kaspersky 7.0.0.125 2008.04.16 -
McAfee 5274 2008.04.15 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.11.00 2008.04.15 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 VIPRE.Suspicious
Symantec 10 2008.04.16 -
TheHacker 6.2.92.278 2008.04.15 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.15 Win32.Malware.dam (suspicious)
weitere Informationen
File size: 6144 bytes
MD5...: 850ba7cda87e4f5a52364427e0e1303a
SHA1..: fbbb50adc57855559440c4db62e15944da2b8207
SHA256: 58adbb849a320a43ebb30136e18dfd40b5d0788228fb0d6b9083645264b495ba
SHA512: af94a465a99b9ef96a21cb636fde6fe4129df730aa6561ab73f6cd0028cfb707
f33e39150ac49645512a865f75dc116a5bdfcb5ae5dd9909a845ad1665c27d39
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x77af3399
timedatestamp.....: 0x411096af (Wed Aug 04 07:56:31 2004)
machinetype.......: 0x14c (I386)
( 4 sections )
|
|
16.04.2008, 00:31
| #8 | |
| > MalwareDB   | Win32:Patched-FF [Trj]Zitat:
Oder besser: Was suchst Du? |
|
16.04.2008, 00:44
| #9 |
| | Win32:Patched-FF [Trj] öhm ich weis nicht was für ein problem du hast, aber wenn du weiter oben nachliest siehst du was ich gelöscht habe, bzw. da steht meine frage was ich alles löschen darf. |
|
16.04.2008, 10:32
| #10 |
| > MalwareDB | Win32:Patched-FF [Trj] Ein Avast Scan hat eine Datei gefunden, diese wurde gelöscht, auch in der Systemwiederherstellung. Dann kommen - Smitfraudfix, nichts gefunden - HJT, nichts auffälliges - Malwarebytes, nichts auffälliges - Combofix, nichts gefunden - Malwarebytes noch mal, nichts auffälliges - Escan, reden wir nicht drüber, nichts auffälliges So, sag mir doch mal, was Ihr sucht? Ich kann Dir noch eine Reihe von Tools nennen, die weiß der Teufel losscannen und Dir Reporte generienen. Aber bis auf Fehlalarme, was Deine sens.dll wohl auch ist, wird wohl nichts bei rumkommen. Bata |
|
16.04.2008, 11:20
| #11 | |
| | Win32:Patched-FF [Trj]Zitat:
mich würde interessieren ob mein system wieder sauber/sicher ist? und da sind wir dabei das raus zu finden. |
|
| Themen zu Win32:Patched-FF [Trj] |
| 0xc0000034, analysis, attention, avast, booten, desktop, fehler, fraud, generic, infected, infiziert, internet, malware, maus, maßnahme, microsoft, moved, neu, ordner, pc normal, programme, registry, router, scan, software, system, system volume information, taskleiste, temp, virus, virus gefunden, windows, windows xp |
![Win32:Patched-FF [Trj]](iconimages/plagegeister-aller-art-deren-bekaempfung/win32-patched-ff-trj_ltr.gif)
Hybrid-Darstellung
