Spyware Doctor: Backdoor.GrayBird.K

stYle345 · 26.05.2008, 15:15

kay werdsh jetz glei ma machen

greeZ

stYle345 · 26.05.2008, 15:33

so hab jetz die 2022 fehler in registry löschen lassen un mit dem cleaner 900 MB gelöscht. was soll ich jetz tun? und für was is "systemwiederherstellung deaktivieren" gut? nach dieser systemwiederherstellung den online scan mach ich später.

greeZ

cosinus · 26.05.2008, 15:55

Zitat:

Zitat von stYle345

und für was is "systemwiederherstellung deaktivieren" gut? nach dieser systemwiederherstellung den online scan mach ich später.

greeZ

Wenn Dein System infiziert ist und in diesem Zustand ein Systemwiederherstellungspunkt erstellt wird, landen auch automatisch die Virendateien da drin. Würdest Du so einen Punkt zur Systemwiederherstellung nutzen, hättest Du gleich wieder ein infiziertes System - von daher sind von nun an alle Systemwiederherstellungspunkte unbrauchbar und sollten gelöscht werden.

Klar soweit?

Erstell doch auch mal ein Logfile mit silentrunners. Poste das Logfile mit [code] tags umschlossen!

stYle345 · 26.05.2008, 15:59

kay ich mach nachher des systemwiederherstellungspunkt un danach kaspersky online scan. dann wiederrum die logfile mit silentunners.
muss jetz nur ma weq mach ich später oder morgen ... thx schunmal

greeZ

stYle345 · 29.05.2008, 17:05

hey,

hab das mitm cc cleaner gemacht un nachm neustart war er um einiges schneller un sound geht jetz au. außerdem kommt diese fehlermeldung " generci host process for win32 services" nicht mehr.

ich habe mit anti vir scan gemacht aber nix gefunden. ich denke es passt jetz wieder.

thx für eure hilfe

wenn ich kaspersky online scan machen werde, meld ich mich nomal

greeZ

cosinus · 29.05.2008, 21:55

Silentrunners fehlt aber noch!

stYle345 · 31.05.2008, 15:14

Hey, hier des von Silentrunners:

"Silent Runners.vbs", revision 58, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Creative Detector" = "C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R" ["Creative Technology Ltd"]
"CTFMON.EXE" = "C:\WINNT\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UpdReg" = "C:\WINNT\UpdReg.EXE" ["Creative Technology Ltd."]
"TRIXX" = ""C:\Programme\TRIXX\TRIXX.exe" -s" ["Sapphire Technologies"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup" ["InstallShield Software Corporation"]
"Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"AGEIA PhysX SysTray" = "C:\Programme\AGEIA Technologies\TrayIcon.exe" [null data]
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" ["Advanced Micro Devices, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"CTxfiHlp" = "CTXFIHLP.EXE" ["Creative Technology Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{3049C3E9-B461-4BC5-8870-4C09146192CA}\(Default) = (no title provided)
-> {HKLM...CLSID} = "RealPlayer Download and Record Plugin for Internet Explorer"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll" ["RealPlayer"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5b4dae26-b807-11d0-9815-00c04fd91972}" = "Menu Band"
-> {HKLM...CLSID} = "Menüband"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{8278F931-2A3E-11d2-838F-00C04FD918D0}" = "Tracking Shell Menu"
-> {HKLM...CLSID} = "Tracking Shell Menu"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}" = "Menu Site"
-> {HKLM...CLSID} = "Menu Site"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}" = "Menu Desk Bar"
-> {HKLM...CLSID} = "Menu Desk Bar"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}" = "IShellFolderBand"
-> {HKLM...CLSID} = "IShellFolderBand"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{0E5CBF21-D15F-11d0-8301-00AA005B4383}" = "&Links"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{7487cd30-f71a-11d0-9ea7-00805f714772}" = "Thumbnail Image"
-> {HKLM...CLSID} = "Background Thumbnail Generator"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{450D8FBA-AD25-11D0-98A8-0800361B1103}" = "MyDocs Folder"
-> {HKLM...CLSID} = "Eigene Dateien"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MI1933~1\Office\OLKFSTUB.DLL" [MS]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware"
-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
\InProcServer32\(Default) = "C:\PROGRA~1\WIFD1F~1\MpShHook.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINNT\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINNT\System32\dimsntfy.dll" [MS]
<<!>> wzcnotif\DLLName = "wzcdlg.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"CDRAutoRun" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"EnableLUA" = (REG_DWORD) dword:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Run All Administrators In Admin Approval Mode}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINNT\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINNT\web\wallpaper\Grüne Idylle.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\system32\logon.scr" [MS]

Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINNT\system32\WPDShextAutoplay.exe" [MS]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
-> {HKLM...CLSID} = "RealNetworks Scheduler"
\LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /autoplay "%1"" ["RealNetworks, Inc."]

Startup items in "Thomas Poppe" & "All Users" startup folders:
--------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Lexware Info Service" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart" [null data]
"MSI Wireless Utility" -> shortcut to: "C:\Programme\MSI\Common\RaUI.exe -s" ["MSI Technology, Corp."]
"NkbMonitor.exe" -> shortcut to: "C:\Programme\Nikon\PictureProject\NkbMonitor.exe" ["Nikon Corporation"]

Enabled Scheduled Tasks:
------------------------

"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {HKLM...CLSID} = "Easy-WebPrint"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\
"ButtonText" = "Messenger"
"MenuText" = "Yahoo! Messenger"
"CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

{D401C3A2-12EF-4D1D-A086-F3AB10B565BF}\
"ButtonText" = "Secret City"
"Exec" = "C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE" [null data]

{D9288080-1BAA-4BC4-9CF8-A92D743DB949}\
"ButtonText" = "Run IMVU"
"Exec" = "C:\Dokumente und Einstellungen\Thomas Poppe\Startmenü\Programme\IMVU\Run IMVU.lnk" [null data]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Avira AntiVir Personal – Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal – Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Creative Audio Service, CTAudSvcService, "C:\Programme\Creative\Shared Files\CTAudSvc.exe" ["Creative Technology Ltd"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINNT\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
CSIScanner, CSIScanner, ""C:\Programme\PrevxCSI\prevxcsi.exe" /service" ["Prevx"]
Fastream IQ Reverse Proxy Engine, IQService, "C:\PROGRA~1\FASTRE~1\IQEngine.exe" ["Fastream Technologies"]
Web Update Wizard Service V4, WebUpdate4, "C:\WINNT\system32\WebUpdateSvc4.exe" ["Data Perceptions / PowerProgrammer"]
Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS]

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i350\Driver = "CNMLM53.DLL" ["CANON INC."]
Canon BJ Language Monitor iP4200\Driver = "CNMLM78.DLL" ["CANON INC."]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

---------- (launch time: 2008-05-31 12:58:14)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 42 seconds, including 11 seconds for message boxes)

stYle345 · 31.05.2008, 15:16

Nochmal Kaspersky:

Bei Memory Scan >> Keine Infezierungen

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 13:46:00
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 817838
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINNT
C:\DOKUME~1\******~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 24122
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:21:17

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

stYle345 · 31.05.2008, 15:17

Kaspersky 2: Laufwerke

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 16:11:42
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 817838
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 167605
Viren gefunden: 5
Infizierte Objekte gefunden: 5
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:11:37

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-05192008-194058.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{B9625E3A-FC76-4086-BC92-59F56795C1A8} Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008053120080601\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Eigene Dateien\ICQ Lite\313557760\MW(KOP)_228242450\;-).vbs Infizierte Objekte: Trojan.VBS.CDJack.a übersprungen
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.b übersprungen
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.g übersprungen
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.f übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP10\A0008905.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PWInspector.b übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP31\change.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

stYle345 · 31.05.2008, 15:23

C:\Eigene Dateien\ICQ Lite\313557760\MW(KOP)_228242450\;-).vbs Infizierte Objekte: Trojan.VBS.CDJack.a übersprungen
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.b übersprungen
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.g übersprungen
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.f übersprungen

hab ich jetz manuell gelöscht

nur was ist des?: C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP10\A0008905.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PWInspector.b übersprungen

schrauber · 31.05.2008, 15:35

Zitat:

Zitat von schrauber26

hast du eine ahnung was das hier ist? hast du da was entgegengenommen über icq?

wenn du das nicht kennst,löschen und den papierkorb leeren.

schau mal bei systemsteuerung-software nach, ob du die "myway" toolbar findest, und deinstallier sie komplett, am besten die rx-toolbar auch gleich runter.

dann lad dir den Ccleaner,installiere ihn,klicke die toolbar weg, und lass temp-dateien und registry bereinigen.

Systemwiederherstellung deaktivieren und wieder aktivieren:

•*Windows XP: Deaktiviere die
Systemwiederherstellung
•*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
•*Wähle den Reiter Systemwiederherstellung
•*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
•*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
•*den Haken wieder entfernen und OK drücken
•*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

so, danach den onlinescan wiederholen, und zwar den ganzen arbeitsplatz scannen lassen.

gruß

schrauber

hattest du das alles gemacht?? denn dann dürfte in der systemwiederherstellung nix mehr sein.

schrauber · 31.05.2008, 15:37

hast du die myway-toolbar deinstalliert?

stYle345 · 31.05.2008, 15:53

neh ich hab das mit systemwiederherstellung net gmacht.. die my toolbar da is gelöscht un dees icq dinqs au des war nur son fun script

hab des jetz mit systemweider... gmacht un werd jetz 2. scan machn

schrauber · 31.05.2008, 15:56

lösch bitte noch den kompletten programmordner der toolbar. und dann schauen wir mal was root24 mit dem silentrunner-log anfangen kann.

gruß

schrauber

stYle345 · 31.05.2008, 18:22

sodala noma :

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 17:18:19
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 818172
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINNT
C:\DOKUME~1\******~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 24134
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:22:11

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

29.05.2008, 21:55	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Spyware Doctor: Backdoor.GrayBird.K Silentrunners fehlt aber noch! __________________ --> Spyware Doctor: Backdoor.GrayBird.K

31.05.2008, 15:37	#27
schrauber /// the machine /// TB-Ausbilder	Spyware Doctor: Backdoor.GrayBird.K hast du die myway-toolbar deinstalliert? __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

31.05.2008, 15:56	#29
schrauber /// the machine /// TB-Ausbilder	Spyware Doctor: Backdoor.GrayBird.K lösch bitte noch den kompletten programmordner der toolbar. und dann schauen wir mal was root24 mit dem silentrunner-log anfangen kann. gruß schrauber __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Spyware Doctor: Backdoor.GrayBird.K

Antiviren-, Firewall- und andere Schutzprogramme: Spyware Doctor: Backdoor.GrayBird.K