Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: über msn backdoor/Trojaner eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.06.2008, 18:32   #1
Gin
 
über msn backdoor/Trojaner eingefangen - Standard

über msn backdoor/Trojaner eingefangen



Hab einen link von einem freund über msn bekommen und bin draufgegangen.
Der pc hat dan was runter geladen und ich depp habs angekligt.

so wies aus sieht ist ein "Backdoor Win32 IRCBot.duc"

Na ja jetzt spint mein msn rum und des weiteren will irgent etwas andauernt meine regi. ändern

kann sich jemand vieleicht einer mein log anschauen
und mir sagen wie ich den kack wieder runterbekomme?

Danke

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:31, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
F:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe
C:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe
C:\Programme\Steganos Security Suite 2007\fredirstarter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\wksvcsc.exe
C:\Programme\Steganos Security Suite 2007\SteganosAgent.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://........de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://........com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://xxxxxx.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.xxxxx.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.xxxxx.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SSS2007 PasswordManagerFFAutoFill] "C:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2007 HotKeys] "C:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SSS2007 File Redirection Starter] "C:\Programme\Steganos Security Suite 2007\fredirstarter.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Flashget] "C:\Programme\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TrayMin200.exe.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - hxxp://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://xxxxxxxxxx/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185907616984
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE671D74-1AF5-4523-99B7-C9FE9302D072}: NameServer = 192.168.1.1,192.168.1.4
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - F:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 10488 bytes

Alt 29.06.2008, 09:41   #2
Big Brain
 
über msn backdoor/Trojaner eingefangen - Standard

über msn backdoor/Trojaner eingefangen



hallo,

hast du mit deinem Antivir ein sys.check gemacht und kontrollire deine laufenden prozesse mit dem Tool:

IceSword - Download - CHIP Online
__________________


Alt 29.06.2008, 10:53   #3
schrauber
/// the machine
/// TB-Ausbilder
 

über msn backdoor/Trojaner eingefangen - Standard

über msn backdoor/Trojaner eingefangen



Hi Gin und
  • Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus .
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.


Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.
Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
TechSupportForum
http://www.techsupportforum.com/sect...s/ComboFix.exe
Sollten die Links nicht funktionieren
und/oder es zu Problemen mit dem Starten des Programmes kommen,
frag bitte bei uns nach
und teile uns detailliert mit, was passiert ist.
  • speichere es auf deinem Desktop.
Während des Scans mit dem ComboFix soll(en):
  • vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein
(Liste der zu deaktivierenden Programme)
  • nichts am Rechner getan werden
  • Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
  • Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
  • Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.
1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.

2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:
  • Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
  • Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
    Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
  • Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
  • Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.
  • Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.
Bitte bei Unklarheiten oder Problemen
mit dem abstellen der Programme
VOR DEM SCAN mit dem ComboFix
bei uns nachfragen.


lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt

4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.



gruß

schrauber
__________________
__________________

Alt 29.06.2008, 13:58   #4
Gin
 
über msn backdoor/Trojaner eingefangen - Standard

über msn backdoor/Trojaner eingefangen



@schrauber:

Danke erstmal für deine Hilfe

So hab mal das programm durchlaufen lassen.
Ob es was gebracht hat weiss ich nicht.
Hier sind mal der Report von *SDFix* und die log datei *DSS*



b]SDFix: Version 1.198 [/b]
Run by Administrator on 29.06.2008 at 13:47

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\ADMINI~1\Desktop\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\ljJDWMCT.dll - Deleted
C:\WINDOWS\wksvcsc.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://xxx.gmer.net
Rootkit scan 2008-06-29 14:11:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:bb,45,24,82,2d,4c,5e,c8,6e,0a,5c,b0,b9,b3,c7,30,15,fd,74,65,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:a7,a0,bd,de,d5,53,61,4d,db,a0,71,a9,d4,25,ec,c0,78,94,f8,0c,18,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8d,b0,0e,1f,4a,d5,93,4e,d5,44,04,c6,5b,4b,6a,c1,f3,..
"khjeh"=hex:e9,1b,d0,8c,dd,38,a8,6b,fb,f6,d4,e1,83,e3,83,ed,11,07,d2,c7,16,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:40,e6,e5,6e,2d,8e,8a,50,02,50,a0,c2,90,19,c3,e0,ce,9d,51,2d,b7,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:bb,45,24,82,2d,4c,5e,c8,6e,0a,5c,b0,b9,b3,c7,30,15,fd,74,65,f4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:a7,a0,bd,de,d5,53,61,4d,db,a0,71,a9,d4,25,ec,c0,78,94,f8,0c,18,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8d,b0,0e,1f,4a,d5,93,4e,d5,44,04,c6,5b,4b,6a,c1,f3,..
"khjeh"=hex:e9,1b,d0,8c,dd,38,a8,6b,fb,f6,d4,e1,83,e3,83,ed,11,07,d2,c7,16,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:40,e6,e5,6e,2d,8e,8a,50,02,50,a0,c2,90,19,c3,e0,ce,9d,51,2d,b7,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\EA GAMES\\Battlefield 2\\BF2.exe"="D:\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"C:\\Programme\\The All-Seeing Eye\\eye.exe"="C:\\Programme\\The All-Seeing Eye\\eye.exe:*:Enabled:Yahoo! All-Seeing Eye"
"D:\\Anno 1701\\Anno1701.exe"="D:\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"
"C:\\Programme\\BitComet\\BitComet.exe"="C:\\Programme\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"="D:\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe:*:Enabled:Medal of Honor Airborne"
"E:\\Games\\Pro Evolution Soccer 2008\\PES2008.exe"="E:\\Games\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"E:\\Games\\assasin\\AssassinsCreed_Dx9.exe"="E:\\Games\\assasin\\AssassinsCreed_Dx9.exe:*:Enabled:Assassin's Creed Dx9"
"E:\\Games\\assasin\\AssassinsCreed_Dx10.exe"="E:\\Games\\assasin\\AssassinsCreed_Dx10.exe:*:Enabled:Assassin's Creed Dx10"
"E:\\Games\\assasin\\AssassinsCreed_Launcher.exe"="E:\\Games\\assasin\\AssassinsCreed_Launcher.exe:*:Enabled:Assassin's Creed Update"
"D:\\TmUnitedForever\\TmForever.exe"="D:\\TmUnitedForever\\TmForever.exe:*:Enabled:TmForever"
"C:\\WINDOWS\\system32\\javaw.exe"="C:\\WINDOWS\\system32\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\FlashGet\\FlashGet.exe"="C:\\Programme\\FlashGet\\FlashGet.exe:*:Enabled:Flashget"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\DOKUME~1\ADMINI~1\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 1 Jan 1980 720 A..H. --- "C:\~000001E.tmp"
Tue 1 Jan 1980 720 A..H. --- "C:\~000001F.tmp"
Sun 12 Mar 2006 10,311,680 ..SH. --- "C:\Programme\AVIConverter\mencoder.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 3 Oct 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Tue 31 Jul 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Tue 18 Mar 2003 1,060,864 A.SH. --- "C:\Programme\MegaDev\MD-Trainers\MegaTrainer XL\mfc71.dll"
Tue 18 Mar 2003 1,047,552 A.SH. --- "C:\Programme\MegaDev\MD-Trainers\MegaTrainer XL\mfc71u.dll"
Fri 21 Feb 2003 348,160 A.SH. --- "C:\Programme\MegaDev\MD-Trainers\MegaTrainer XL\msvcr71.dll"
Mon 3 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\523d056929e13eacf8392044f602e53e\BIT3.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT2.tmp"
Sat 17 May 2008 1,745 ...HR --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

Alt 29.06.2008, 13:59   #5
Gin
 
über msn backdoor/Trojaner eingefangen - Standard

über msn backdoor/Trojaner eingefangen



Deckard's System Scanner v20071014.68
Run by Administrator on 2008-06-29 14:42:50
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Administrator.exe) ---------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:55, on 29.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
F:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe
C:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe
C:\Programme\Steganos Security Suite 2007\fredirstarter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\ADMINI~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O2 - BHO: (no name) - {5066F646-4CC1-42D5-9BB6-8F1746DCDB11} - C:\WINDOWS\system32\rqRLcyWn.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {75284CE0-023F-484F-B79B-FC8159A7C8AF} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {91BE4479-87F5-4141-9621-3B5346BC6E10} - C:\WINDOWS\system32\yayVLdBq.dll
O2 - BHO: (no name) - {D554A583-D4CF-4A6F-B07A-CB25F60FA743} - (no file)
O2 - BHO: (no name) - {DA1A4EAB-CF9F-4EDA-9FEE-F8FDFAC7BA06} - C:\WINDOWS\system32\tuvTkhig.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O2 - BHO: (no name) - {FC7052A5-A6F2-43AF-BB19-CBEE4D81599C} - (no file)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SSS2007 PasswordManagerFFAutoFill] "C:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2007 HotKeys] "C:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SSS2007 File Redirection Starter] "C:\Programme\Steganos Security Suite 2007\fredirstarter.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TrayMin200.exe.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - hxxp://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185907616984
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE671D74-1AF5-4523-99B7-C9FE9302D072}: NameServer = 192.168.1.1,192.168.1.4
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - F:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 10356 bytes

-- Files created between 2008-05-29 and 2008-06-29 -----------------------------

2008-06-29 13:41:20 0 d-------- C:\WINDOWS\ERUNT
2008-06-29 13:16:38 82432 --a------ C:\WINDOWS\system32\gwhilmjp.dll
2008-06-29 13:13:38 103424 --a------ C:\WINDOWS\system32\mqphrobf.dll
2008-06-29 13:13:38 103424 --a------ C:\WINDOWS\system32\bsfbla.dll
2008-06-29 13:11:21 90624 --a------ C:\WINDOWS\system32\ewtnbseo.dll
2008-06-29 13:10:36 461193 --ahs---- C:\WINDOWS\system32\qBdLVyay.ini2
2008-06-29 13:10:33 319488 --a------ C:\WINDOWS\system32\yayVLdBq.dll
2008-06-29 12:02:13 103424 --a------ C:\WINDOWS\system32\geawhp.dll
2008-06-29 12:02:12 103424 --a------ C:\WINDOWS\system32\fxieytow.dll
2008-06-29 11:59:12 90624 --a------ C:\WINDOWS\system32\kjoxvjgr.dll
2008-06-29 11:44:11 458032 --ahs---- C:\WINDOWS\system32\nWycLRqr.ini2
2008-06-29 11:37:19 211893 --a------ C:\WINDOWS\system32\drivers\IsDrv122.sys
2008-06-29 09:08:41 0 d-------- C:\Programme\Windows Live
2008-06-28 20:15:51 81920 --a------ C:\WINDOWS\system32\yaafuhlq.dll
2008-06-28 20:15:01 4110 --ahs---- C:\WINDOWS\system32\gihkTvut.ini2
2008-06-28 16:34:13 21608 --a------ C:\ds.exe
2008-06-28 11:06:11 0 d-------- C:\Programme\FrostWire
2008-06-28 10:28:20 0 d-------- C:\Programme\Mister Pix II
2008-06-26 17:10:45 0 d-------- C:\Programme\Vg
2008-06-22 17:12:13 0 d-------- C:\Programme\RealVNC
2008-06-17 19:52:50 0 d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-06-17 19:52:49 212480 --a------ C:\WINDOWS\PCDLIB32.DLL <Not Verified; Eastman Kodak; Kodak Photo CD Access Developer Toolkit>
2008-06-17 19:52:49 0 d-------- C:\Programme\Philips_VLounge
2008-06-17 19:44:57 0 d-------- C:\Programme\Philips
2008-06-13 16:15:59 0 d-------- C:\Programme\EUROPA
2008-06-09 22:30:46 0 d-------- C:\Programme\SuperVideoCap
2008-06-06 16:44:27 3895756 --a------ C:\WINDOWS\system32\SkypeSMS.exe


-- Find3M Report ---------------------------------------------------------------

2008-06-29 13:30:31 0 d-------- C:\Programme\FlashGet
2008-06-29 13:11:07 4 --a------ C:\WINDOWS\info147.sys
2008-06-28 15:41:47 0 d-------- C:\Programme\nbpro
2008-06-28 11:56:07 0 d-------- C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\FrostWire
2008-06-27 15:44:51 0 d-------- C:\Dokumente und Einstellungen\xxxxxxxxx\Anwendungsdaten\UseNeXT
2008-06-17 19:53:40 0 d-------- C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\ArcSoft
2008-06-17 19:52:50 0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-17 19:52:48 0 d--h----- C:\Programme\InstallShield Installation Information
2008-06-17 10:05:40 0 d-------- C:\Dokumente und Einstellungen\xxxxxxxxx\Anwendungsdaten\LimeWire
2008-06-12 15:52:04 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-12 15:47:58 0 d-------- C:\Programme\Azureus
2008-06-12 15:47:32 0 d-------- C:\Programme\appleJuice
2008-05-24 00:02:53 0 d-------- C:\Dokumente und Einstellungen\xxxxxxxxx\Anwendungsdaten\Azureus
2008-05-23 23:41:57 0 d-------- C:\Programme\Java
2008-05-20 21:21:42 0 d-------- C:\Programme\Gemeinsame Dateien\Totem Shared
2008-05-20 20:41:14 0 d-------- C:\Programme\vghd
2008-05-20 20:22:24 0 d-------- C:\Dokumente und Einstellungen\xxxxxxxxx\Anwendungsdaten\vghd
2008-05-17 12:07:10 0 d-------- C:\Dokumente und Einstellungen\xxxxxxxxxx\Anwendungsdaten\temp
2008-05-16 20:00:33 0 d-------- C:\Programme\Avira
2008-05-10 13:57:43 0 d-------- C:\Programme\BearShare
2008-05-10 12:04:48 0 d-------- C:\Programme\MatheAss
2008-04-14 16:13:20 448918 --a------ C:\WINDOWS\system32\perfh007.dat
2008-04-14 16:13:20 80270 --a------ C:\WINDOWS\system32\perfc007.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1427A821-7B93-4F08-9A34-9FA03A3D93DB}]
21.05.2007 11:11 20480 --a------ C:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
04.10.2007 22:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5066F646-4CC1-42D5-9BB6-8F1746DCDB11}]
C:\WINDOWS\system32\rqRLcyWn.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{75284CE0-023F-484F-B79B-FC8159A7C8AF}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91BE4479-87F5-4141-9621-3B5346BC6E10}]
29.06.2008 13:10 319488 --a------ C:\WINDOWS\system32\yayVLdBq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D554A583-D4CF-4A6F-B07A-CB25F60FA743}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA1A4EAB-CF9F-4EDA-9FEE-F8FDFAC7BA06}]
C:\WINDOWS\system32\tuvTkhig.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FC7052A5-A6F2-43AF-BB19-CBEE4D81599C}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [04.10.2007 22:06 1135968]

[-HKEY_CLASSES_ROOT\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [31.07.2007 21:24 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [31.07.2007 21:24 C:\WINDOWS\SkyTel.exe]
"Alcmtr"="ALCMTR.EXE" [31.07.2007 21:24 C:\WINDOWS\Alcmtr.exe]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe" [28.10.2006 09:57]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe" [27.10.2006 21:41]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [27.10.2006 19:01]
"SSS2007 PasswordManagerFFAutoFill"="C:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe" [21.05.2007 11:11]
"SSS2007 HotKeys"="C:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe" [21.05.2007 11:11]
"SSS2007 File Redirection Starter"="C:\Programme\Steganos Security Suite 2007\fredirstarter.exe" [15.05.2007 16:18]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 00:57]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [04.04.2007 00:29]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"Spybot - Search & Destroy"="C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
TrayMin200.exe.lnk - C:\Programme\Philips\SPC 200NC PC Camera\TrayMin200.exe [17.06.2008 19:44:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"=1 (0x1)
"NoAutoTrayNotify"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoDesktopCleanupWizard"=1 (0x1)
"NoAutoTrayNotify"=1 (0x1)
"NoSimpleStartMenu"=1 (0x1)
"NoLowDiskSpaceChecks"=0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoDesktopCleanupWizard"=1 (0x1)
"NoAutoTrayNotify"=1 (0x1)
"NoSimpleStartMenu"=1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap C:\WINDOWS\system32\yayVLdBq

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EA Core"="C:\Programme\Electronic Arts\EADM\Core.exe" -silent
"AdobeUpdater"=C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"TVBroadcast"=F:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
"Flashget"="C:\Programme\FlashGet\FlashGet.exe" /min
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
"mspwr"=C:\WINDOWS\system32\PuXpMan2.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"BigDogPath"=C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
"BMf33edf8b"=Rundll32.exe "C:\WINDOWS\system32\ewtnbseo.dll",s


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28c1c875-3fa2-11dc-a520-806d6172696f}]
AutoRun\command- H:\Autorun.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1DB2E1A4-05FF-8BDA-9388-FCA5BD185A26}]
C:\WINDOWS\system32\wintime32.exe



-- End of Deckard's System Scanner: finished at 2008-06-29 14:43:18 ------------


Alt 29.06.2008, 14:13   #6
schrauber
/// the machine
/// TB-Ausbilder
 

über msn backdoor/Trojaner eingefangen - Standard

über msn backdoor/Trojaner eingefangen



Hi,

das schaut gar nicht gut aus. Der Backdoor hat sich richtig schön eingenistet, jede menge weitere malware steckt in deinem system.

für dich gibt es leider nur eine möglichkeit, einen sauberen rechner zu bekommen, und das ist das Neuaufsetzen des systems.


gruß

schrauber
__________________
--> über msn backdoor/Trojaner eingefangen

Alt 29.06.2008, 14:49   #7
Gin
 
über msn backdoor/Trojaner eingefangen - Standard

über msn backdoor/Trojaner eingefangen



shit

Dank dir trozdem für deine hilfe

Antwort

Themen zu über msn backdoor/Trojaner eingefangen
adobe, antivir, antivirus, avira, backdoor, bho, bonjour, computer, einstellungen, explorer, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mein log, mozilla, mozilla firefox, object, pdf, programme, security, security suite, software, system, tuneup.defrag, urlsearchhook, windows, windows xp, ändern



Ähnliche Themen: über msn backdoor/Trojaner eingefangen


  1. vermutlich Trojaner über Facebook eingefangen - was tun?
    Plagegeister aller Art und deren Bekämpfung - 26.08.2015 (3)
  2. Trojaner, Backdoor oder doch schlimmeres eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 08.08.2015 (15)
  3. DirtyDecrypt über den BKA Trojaner eingefangen ransomware
    Log-Analyse und Auswertung - 20.08.2013 (7)
  4. DirtyDecrypt über den BKA Trojaner eingefangen ransomware
    Plagegeister aller Art und deren Bekämpfung - 18.08.2013 (23)
  5. Trojaner o.ä. über Facebook eingefangen
    Log-Analyse und Auswertung - 14.06.2013 (29)
  6. Trojaner eingefangen über Vodafone MMS Email
    Log-Analyse und Auswertung - 23.11.2012 (19)
  7. verschlüsselungs-trojaner über email anhang eingefangen
    Log-Analyse und Auswertung - 30.05.2012 (2)
  8. Facebook Trojaner / Backdoor eingefangen?
    Log-Analyse und Auswertung - 11.11.2011 (19)
  9. Trojaner TR/ATRAPS.Gen2 über Facebooklink eingefangen
    Plagegeister aller Art und deren Bekämpfung - 20.10.2011 (17)
  10. Virus/Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (1)
  11. Backdoor Trojaner eingefangen
    Log-Analyse und Auswertung - 15.10.2010 (9)
  12. Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (16)
  13. Trojaner über ICQ eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (23)
  14. Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 17.04.2010 (3)
  15. Mehrfache Trojaner eingefangen, über Firefox.
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (13)
  16. trojaner-backdoor versendet mails über svchost / winlogon
    Plagegeister aller Art und deren Bekämpfung - 02.06.2008 (5)
  17. Trojaner über FTP-Port eingefangen
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (7)

Zum Thema über msn backdoor/Trojaner eingefangen - Hab einen link von einem freund über msn bekommen und bin draufgegangen. Der pc hat dan was runter geladen und ich depp habs angekligt. so wies aus sieht ist ein - über msn backdoor/Trojaner eingefangen...
Archiv
Du betrachtest: über msn backdoor/Trojaner eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.