| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner manuell entfernen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.08.2008, 09:21
| #1 |
 |  Trojaner manuell entfernen? Hallo Fachleute! Und schon wieder ein unbedarfter User der sich Plagegeister eingefangen hat und dumme Fragen Stelllt.  Vorab ich habe schon gegoogelt und auch sonstige Ratschläge abgecheckt, wie: Software Updates aller installierten Programme auf die neueste Version bringen. Update der Viren-Signaturen des AV. Vernünftige Ordneransicht Einstellungen. Abschalten unnötiger Dienste:Firewall aktivieren. Habe Pc Tool Firewall und den Avast Virenscanner. Letzterer findet: Win32Tiny-UR Win32Zbot-AJX Win32Frauload-P.Super!!! Die sollen wohl weitere Schadprogramme runter laden sowie Passwörter und Tastatureingaben ausspionieren und an irgendwelche Adressen mit .ru Endung senden. Ich weiß auch wie ich mir den Tiny eingefangen habe mit einem gefälschten UPS Lieferschein im Anhang einer Mail. Obwohl ich den nicht aufgemacht habe findet ihn Avast unter Dokumente und Einstellungen/.../.../ verstehe ich nicht. Genauen Pfand kann ich im Moment nicht nennen da ich nicht an meine PC bin. Nachdem Avast Sie in den AV Container gesperrt hat, sind sie beim Neustart wieder da. Oder bringt das was wenn ich die im Container tot mache? Ich denke das hat ja wohl eher was mit der Registry zu tun stimmts? Aber wie erkenne ich die Schlüssel die da zu löschen sind? Vielleicht im Abgesicheten Modus oder so? Grundsätzlich läuft mein PC alles OK. Gmer habe ich mal rüber laufen lassen. Allerdings kann ich mit dem Ergebniss nicht viel anfangen. Search an Destroy findet auch nix. Viel Raten immer gleich zu format C. Das würde danach aber für mich locker 5 Tage Arbeit bedeuten (Aufspielen Updaten)  Ich bin bereit zu töten  wer hilft mir!!! |
|
26.08.2008, 18:14
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Trojaner manuell entfernen? Hallo und
__________________ Acker diese Punkte für weitere Analysen ab: 1.) Poste ein Hijackthis Logfile. 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
26.08.2008, 18:31
| #3 |
| |  Trojaner manuell entfernen? In dem Fall ist der Trojaner auf der System Platte.
__________________Du/Er fragt zwar nach "manuell entfernen". Aber in diesem Fall kann man ihm doch auch den Ratschlag geben seine Systemplatte neu zu formatieren und WinXp (whatever) neu zu installieren. Evtl. weniger aufwendig als die manuelle entfernung mit zig Programme, haufen Neustarts. Und am Ende kann man sich nie sicher sein ob man den Trojaner nicht doch gekillt hat. |
|
26.08.2008, 18:38
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Trojaner manuell entfernen? Diver, das weiß ich alles, Du erzählst mir da nix Neues.  Mir gehts aber erstmal um Systemanalyse und ob sich eben mit etwas Aufwand doch noch was retten läßt. Formatieren und Neuaufsetzen - gut und schön, aber dann könnten wir das Board im Grunde dichtmachen und jedem neuangemeldeten User gleih den Hinweis geben, hier kann man nicht posten, setz Dein System gleich neu auf!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
26.08.2008, 19:18
| #5 |
| | Trojaner manuell entfernen? Das stimmt. Wobei ich gerade so einen Fall habe. Siehe hier: http://www.trojaner-board.de/58631-dropper-system-volume-info-verzeichnis-nicht-system-platte.html Wo System neu draufmachen auch nix bringt. Befall einer "Daten-Platte". Bin für "einfache" Lösungen wie "Daten auf andere Platten kopieren"... Festplatte formatieren... = Problem behoben... sehr dankbar. Wüsste nur gerne ob ich es mir damit nicht zu einfach mache. |
|
27.08.2008, 00:26
| #6 |
| | Trojaner manuell entfernen? @diver3000: In Deinem Fall machst Du es Dir damit sogar zu schwierig. Du müsstest, wie root24 Dir in Deinem Thread schon geantwortet hatte (edit: ups, hat er ja erst danach, sorry), nur die Systemwiederherstellung deaktivieren, neu starten und sie wieder aktivieren. Aber besprecht das doch der Übersicht halber in Deinem Thread. @eisentreiber: Keine voreiligen Schlüsse, selbst wenn es in einigen Fällen mit Neuaufsetzen schneller geht, heißt es nicht, dass das bei Dir der Fall sein muss. Mal sehen, was root24 Dir auf Deine Logfiles hin entgegnen kann. |
|
27.08.2008, 06:54
| #7 |
| | Trojaner manuell entfernen? Moin bei dem Fund Win32Zbot sollte man übers "Plattmachen" nachdenken, aber warten wir wie gesagt die Logs ab. BTW. die neuen Smileys sind ja lustig  MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
27.08.2008, 18:35
| #8 | |
| | Trojaner manuell entfernen?Zitat:
Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 19:19:16, on 27.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\Ati2evxx.exe I:\WINDOWS\system32\svchost.exe I:\Programme\PC Tools Firewall Plus\FWService.exe I:\Programme\Windows Defender\MsMpEng.exe I:\WINDOWS\System32\svchost.exe I:\Programme\Alwil Software\Avast4\aswUpdSv.exe I:\Programme\Alwil Software\Avast4\ashServ.exe I:\WINDOWS\system32\spoolsv.exe I:\WINDOWS\system32\Ati2evxx.exe I:\WINDOWS\Explorer.EXE I:\WINDOWS\eHome\ehRecvr.exe I:\WINDOWS\eHome\ehSched.exe I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe I:\WINDOWS\System32\svchost.exe I:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE I:\WINDOWS\ehome\ehtray.exe I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe I:\Programme\Windows Defender\MSASCui.exe I:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe I:\WINDOWS\system32\ctfmon.exe I:\WINDOWS\system32\svchost.exe I:\Programme\FRITZ!DSL\FwebProt.exe I:\WINDOWS\eHome\ehmsas.exe I:\WINDOWS\system32\dllhost.exe I:\Programme\Mozilla Firefox\firefox.exe I:\WINDOWS\system32\taskmgr.exe I:\Programme\Alwil Software\Avast4\ashMaiSv.exe I:\Programme\Alwil Software\Avast4\ashWebSv.exe I:\Programme\PC Tools Firewall Plus\FirewallGUI.exe I:\Programme\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - I:\Programme\WS_FTP Pro\wsbho2K0.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [HD Tune] I:\PROGRA~1\HDTUNE~1\HDTune.exe O4 - HKLM\..\Run: [00PCTFW] "I:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" -s O4 - HKLM\..\Run: [ehTray] I:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Windows Defender] "I:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [AVMFBoxMonitor] "I:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" O4 - HKCU\..\Run: [XPClean-RegWarner] I:\Programme\XPcleanv5\RegWarner.exe /s O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe O4 - Startup: FRITZ!webProtect.lnk = I:\Programme\FRITZ!DSL\FwebProt.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: In 1&&1 SoftPhone wählen - I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: i:\programme\fritz!dsl\sarah.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6D8A3B3D-8308-48DA-B1A6-8DE7B1D8B4C9}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{FEA02936-9549-4A2F-AECB-5C395035C978}: NameServer = 192.168.122.252,192.168.122.253 O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - I:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - I:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - I:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - I:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - I:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - I:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - I:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - I:\Programme\PC Tools Firewall Plus\FWService.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - i:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: Port Reporter (PortReporter) - Unknown owner - I:\Programme\PortReporter\portreporter.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - I:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - I:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe |
|
27.08.2008, 21:28
| #9 |
| | Trojaner manuell entfernen? So hier das nächste Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 3
22:08:48 27.08.2008
mbam-log-08-27-2008 (22-08-39).txt
Scan-Methode: Vollständiger Scan (I:\|Y:\|)
Durchsuchte Objekte: 244950
Laufzeit: 48 minute(s), 49 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
I:\Programme\Mozilla1.7.13\regxpcom.exe (Trojan.FBrowsingAdvisor) -> No action taken.
I:\Programme\WordToPDF\PrInst.exe (Backdoor.Bot) -> No action taken.
|
|
27.08.2008, 21:31
| #10 |
| | Trojaner manuell entfernen? Und das nächste: Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
|
|
27.08.2008, 21:34
| #11 |
| | Trojaner manuell entfernen? Und hier noch ein Bericht von Gmer: Code:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-24 19:12:37
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT \SystemRoot\system32\drivers\pctmp.sys (Memory Monitor Driver/PCTools Research Pty Ltd.) ZwAllocateVirtualMemory [0xF7558EEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB13AE618]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB13AE4D4]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB13AE9B2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB13AE0AC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB13AE5AE]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB13ADFEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB13AE050]
SSDT \SystemRoot\system32\drivers\pctmp.sys (Memory Monitor Driver/PCTools Research Pty Ltd.) ZwProtectVirtualMemory [0xF755927E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB13AE6CE]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB13AE68E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB13AE80E]
---- User code sections - GMER 1.0.14 ----
.text I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF301 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 44671667 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 446715E8 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 4467162C I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 44671574 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 446715AE I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 446716A2 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text I:\Programme\Internet Explorer\iexplore.exe[480] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 445016B6 I:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- User IAT/EAT - GMER 1.0.14 ----
IAT I:\WINDOWS\system32\services.exe[864] @ I:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT I:\WINDOWS\system32\services.exe[864] @ I:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000
---- Devices - GMER 1.0.14 ----
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
---- Services - GMER 1.0.14 ----
Service I:\Programme\Microsoft (*** hidden *** ) [DISABLED] MSSQL$PINNACLESYS <-- ROOTKIT !!!
Service I:\Programme\Microsoft (*** hidden *** ) [MANUAL] SQLAgent$PINNACLESYS <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0x50 0x93 0xE5 0xAB ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0xAA 0x52 0xC6 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0xB1 0xCD 0x45 0x5A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ I:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0xFA 0xEA 0x66 0x7F ...
---- EOF - GMER 1.0.14 ----
|
|
27.08.2008, 21:48
| #12 |
| | Trojaner manuell entfernen? Und hier das von Combofix: Code:
ATTFilter ComboFix 08-08-25.01 - Admin 2008-08-27 22:37:50.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1447 [GMT 2:00]
ausgeführt von:: I:\A-Download\sicherheit\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-27 bis 2008-08-27 ))))))))))))))))))))))))))))))
.
2008-08-27 19:53 . 2008-08-27 19:53 <DIR> d-------- I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-08-27 19:53 . 2008-08-17 15:01 17,144 --a------ I:\WINDOWS\system32\drivers\mbam.sys
2008-08-27 19:52 . 2008-08-27 22:08 <DIR> d-------- I:\Programme\Malwarebytes' Anti-Malware
2008-08-27 19:52 . 2008-08-27 19:52 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-27 19:52 . 2008-08-17 15:01 38,472 --a------ I:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-25 17:21 . 2008-08-25 17:21 <DIR> d-------- I:\Dokumente und Einstellungen\Armin\Anwendungsdaten\PCToolsFirewallPlus
2008-08-24 21:22 . 2008-06-14 19:32 273,024 -----c--- I:\WINDOWS\system32\dllcache\bthport.sys
2008-08-24 21:04 . 2008-08-24 21:04 <DIR> d-------- I:\WINDOWS\system32\de
2008-08-24 21:04 . 2008-08-24 21:04 <DIR> d-------- I:\WINDOWS\system32\bits
2008-08-24 21:04 . 2008-08-24 21:04 <DIR> d-------- I:\WINDOWS\l2schemas
2008-08-24 21:02 . 2008-08-24 21:04 <DIR> d-------- I:\WINDOWS\ServicePackFiles
2008-08-24 20:49 . 2008-04-14 04:22 4,274,816 --------- I:\WINDOWS\system32\nv4_disp.dll
2008-08-24 13:43 . 2008-08-24 19:03 250 --a------ I:\WINDOWS\gmer.ini
2008-08-24 09:52 . 2008-08-24 09:52 369 --a------ I:\VA-bilder.lnk
2008-08-24 00:40 . 2008-08-24 00:40 <DIR> d-------- I:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\DivX
2008-08-21 19:15 . 2008-08-21 19:15 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
2008-08-21 18:57 . 2008-08-27 19:39 <DIR> d-------- I:\Programme\FRITZ!Box Monitor
2008-08-21 18:55 . 2008-08-21 18:55 <DIR> d--h----- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{411234A5-A7C5-4628-A4D3-64C942F8C38C}
2008-08-21 18:53 . 2008-08-21 18:53 <DIR> d-------- I:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-15 18:57 . 2008-04-11 21:04 691,712 -----c--- I:\WINDOWS\system32\dllcache\inetcomm.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-27 20:35 --------- d---a-w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-27 17:53 --------- d-----w I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FRITZ!
2008-08-27 17:02 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-27 16:55 --------- d-----w I:\Programme\XPcleanv5
2008-08-25 15:24 --------- d-----w I:\Dokumente und Einstellungen\Armin\Anwendungsdaten\FRITZ!
2008-08-24 19:43 --------- d-----w I:\Programme\Microsoft Baseline Security Analyzer 2
2008-08-24 19:39 --------- d-----w I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OfficeUpdate12
2008-08-24 19:31 --------- d-----w I:\Programme\APV
2008-08-24 16:29 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-24 15:54 --------- d-----w I:\Programme\Spybot - Search & Destroy
2008-08-21 15:56 --------- d-----w I:\Programme\PC Tools Firewall Plus
2008-08-17 21:19 --------- d-----w I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\1&1
2008-08-11 19:43 --------- d-----w I:\Programme\CIB software GmbH
2008-08-11 19:41 --------- d--h--w I:\Programme\InstallShield Installation Information
2008-08-10 07:26 --------- d-----w I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Canon
2008-08-05 15:18 7,168 --sha-w I:\Programme\Thumbs.db
2008-07-23 16:31 --------- d-----w I:\Programme\NOS
2008-07-23 16:31 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-07-21 07:46 --------- d-----w I:\Programme\gs
2008-07-21 05:26 --------- d-----w I:\Programme\SomePDF
2008-07-18 19:13 --------- d-----w I:\Programme\FRITZ!
2008-07-08 15:47 --------- d-----w I:\Programme\Windows Defender
2008-07-07 20:26 253,952 ----a-w I:\WINDOWS\system32\es.dll
2008-06-28 07:48 --------- d-----w I:\Programme\NavExcel Search Toolbar
2008-06-24 16:42 74,240 ----a-w I:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w I:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w I:\WINDOWS\system32\mswsock.dll
2007-03-27 10:13 4 ----a-w I:\Programme\mwst.dat
2007-01-03 12:36 307,200 ----a-w I:\Programme\MWST2007.exe
2007-01-03 12:22 5,105 ----a-w I:\Programme\bestellung.txt
2007-01-03 12:21 560 ----a-w I:\Programme\bittelesen1.txt
2005-07-14 22:09 8,174 ----a-w I:\Programme\order.pdf
2003-05-22 07:36 17,549 ----a-w I:\Programme\stop.gif
2003-05-22 07:33 3,360 ----a-w I:\Programme\update.gif
2003-05-22 07:30 54,635 ----a-w I:\Programme\zahnrad.gif
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XPClean-RegWarner"="I:\Programme\XPcleanv5\RegWarner.exe" [2005-03-08 11:59 1445888]
"SpybotSD TeaTimer"="I:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 18:41 1832272]
"ctfmon.exe"="I:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HD Tune"="I:\PROGRA~1\HDTUNE~1\HDTune.exe" [2006-01-22 10:35 401408]
"00PCTFW"="I:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" [2008-04-11 23:23 2598808]
"ehTray"="I:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"avast!"="I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"AVMFBoxMonitor"="I:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2008-06-03 02:00 1508656]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]
I:\Dokumente und Einstellungen\Armin\Startmen\Programme\Autostart\
ERUNT AutoBackup.lnk - I:\Programme\ERUNT\AUTOBACK.EXE [2005-10-20 12:04:08 38912]
FRITZ!webProtect.lnk - I:\Programme\FRITZ!DSL\FwebProt.exe [2006-05-16 20:16:18 319538]
Outlook.lnk.disabled [2006-06-28 10:25:11 824]
I:\Dokumente und Einstellungen\Admin\Startmen\Programme\Autostart\
FRITZ!webProtect.lnk - I:\Programme\FRITZ!DSL\FwebProt.exe [2006-05-16 20:16:18 319538]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= I:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= I:\WINDOWS\Resources\Themes\Royale.theme
"disablecad"= 1 (0x1)
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^ERUNT AutoBackup.lnk]
path=I:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk
backup=I:\WINDOWS\pss\ERUNT AutoBackup.lnkStartup
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=I:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=I:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^FirePanel XP.lnk]
path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FirePanel XP.lnk
backup=I:\WINDOWS\pss\FirePanel XP.lnkCommon Startup
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Gigaset WLAN Adapter Monitor.lnk]
path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Gigaset WLAN Adapter Monitor.lnk
backup=I:\WINDOWS\pss\Gigaset WLAN Adapter Monitor.lnkCommon Startup
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=I:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ISDNWatch.lnk]
path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk
backup=I:\WINDOWS\pss\ISDNWatch.lnkCommon Startup
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Service Manager.lnk]
path=I:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk
backup=I:\WINDOWS\pss\Service Manager.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:\Programme
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:\Programme\1&1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:\Programme\1&1\1&1 EasyLogin
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe]
1&1 EasyLogin HIDE [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1&1_1&1 Upload-Manager]
--a------ 2007-01-22 12:44 839680 I:\Programme\1&1\1&1 Upload-Manager\DAVSRV.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APV]
--a------ 2007-10-25 12:40 192512 I:\Programme\APV\autostart_and_process_viewer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2006-05-10 12:12 90112 I:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2004-09-29 07:15 344064 I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\B'sCLiP]
--a------ 2003-06-06 05:31 1318912 I:\PROGRA~1\B'SCLI~1\Win2K\BsCLiP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
--a------ 2006-04-09 11:19 634880 I:\Programme\Eraser\eraser.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
--a------ 2006-05-16 20:06 122368 I:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 I:\Programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 04:22 1695232 I:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 I:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
--a------ 2007-06-18 16:49 98304 I:\Programme\phonostar\ps_agent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-06-18 16:59 126976 I:\Programme\phonostar\ps_timer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMCRemote]
--------- 2004-12-06 09:30 57344 I:\Programme\Pinnacle\Shared Files\Programs\Remote\remoterm.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMCS]
--------- 2004-11-08 14:01 57344 I:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRISMSVR.EXE]
--------- 2004-07-02 16:27 295001 I:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]
--------- 2002-02-04 22:32 53248 I:\Programme\REGSHAVE\REGSHAVE.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--------- 2008-08-18 18:41 1832272 I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 I:\Programme\Java\jre1.6.0_03\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-09-23 23:01 185784 I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2006-09-07 19:19 15872 I:\Programme\Unlocker\UnlockerAssistant.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 I:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-06-21 19:14 35328 I:\Programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Verknüpfung mit der High Definition Audio-Eigenschaftenseite]
--------- 2004-03-17 16:10 61952 I:\WINDOWS\system32\Hdaudpropshortcut.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PinnacleDriverCheck"=I:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"I:\\Programme\\Adobe\\GoLive CS_DEU\\GoLive.exe"=
"I:\\Programme\\Windows Media Player\\wmplayer.exe"=
"I:\\xampp\\mysql\\bin\\mysqld.exe"=
"I:\\xampp\\apache\\bin\\apache.exe"=
"I:\\Programme\\WS_FTP Pro\\wsftppro.exe"=
"I:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"I:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"I:\\Programme\\Messenger\\msmsgs.exe"=
"I:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 BsStor;B.H.A Storage Helper Driver;I:\WINDOWS\system32\drivers\BsStor.sys [2002-06-06 01:07]
R1 aswSP;avast! Self Protection;I:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R1 NETDSL;AVM PPP over Ethernet;I:\WINDOWS\system32\DRIVERS\netdsl.sys [2004-04-28 09:03]
R1 pctfw2;pctfw2;I:\WINDOWS\system32\drivers\pctfw2.sys [2008-04-11 23:23]
R1 pctmp;PC Tools Firewall Memory Protection Driver;I:\WINDOWS\system32\drivers\pctmp.sys [2008-02-21 09:56]
R1 pctssipc;PC Tools Security Suite IPC Driver;I:\WINDOWS\system32\drivers\pctssipc.sys [2008-02-21 09:56]
R1 ui11rdr;ui11rdr;I:\WINDOWS\system32\DRIVERS\ui11rdr.sys [2007-01-22 12:43]
R2 aadev;AVM ADSL Adapter Device;I:\WINDOWS\system32\DRIVERS\aadev.sys [2004-04-28 08:58]
R2 aswFsBlk;aswFsBlk;I:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 AVMPORT;AVMPORT;I:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 01:00]
R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;I:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-12-03 14:55]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;I:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-09-11 02:00]
R3 cmudax;C-Media High Definition Audio Interface;I:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 15:39]
S2 PortReporter;Port Reporter;I:\Programme\PortReporter\portreporter.exe [2004-03-30 16:15]
S3 AVMUNET;AVM FRITZ!Box;I:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 16:15]
S3 FUS2BASE;FRITZ!Card USB;I:\WINDOWS\system32\DRIVERS\fus2base.sys [2002-09-11 02:00]
S3 getPlus(R) Helper;getPlus(R) Helper;I:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-06-26 10:24]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;I:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2002-01-11 09:19]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;I:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2004-04-28 09:03]
S3 SE4501D;Gigaset USB Adapter 54 Driver;I:\WINDOWS\system32\DRIVERS\SE4501D.sys [2005-01-25 11:34]
S3 WinSecDrv;WinSecDrv;I:\WINDOWS\system32\WinSecDrv.sys []
S4 BsUDF;B.H.A UDF Filesystem;I:\WINDOWS\system32\drivers\BsUDF.sys [2003-06-06 11:23]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{795689f4-4805-11db-95d5-00110983a6e2}]
\Shell\AutoRun\command - D:\preinst.exe
*Newly Created Service* - CATCHME
*Newly Created Service* - MBAMSWISSARMY
*Newly Created Service* - MBR
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-07-18 I:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- I:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 14:21]
2008-08-27 I:\WINDOWS\Tasks\MP Scheduled Scan.job
- I:\Programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
2008-01-13 I:\WINDOWS\Tasks\TASK20080113114208.job
- I:\Programme\WS_FTP Pro\wsftppro.exe [2003-12-16 17:00]
2008-07-21 I:\WINDOWS\Tasks\TASK20080721095829.job
- I:\Programme\WS_FTP Pro\wsftppro.exe [2003-12-16 17:00]
2008-07-21 I:\WINDOWS\Tasks\TASK20080721100240.job
- I:\Programme\WS_FTP Pro\wsftppro.exe [2003-12-16 17:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-AVG7_CC - I:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
MSConfigStartUp-COMODO Firewall Pro - I:\Programme\Comodo\Firewall\CPF.exe
MSConfigStartUp-QuickTime Task - I:\Programme\QuickTime\qttask.exe
MSConfigStartUp-swg - I:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
MSConfigStartUp-Cmaudio - cmicnfg.cpl
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - I:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cj7q80kh.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 22:42:04
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: I:\WINDOWS\system32\lsass.exe
-> I:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
.
Zeit der Fertigstellung: 2008-08-27 22:42:59
ComboFix-quarantined-files.txt 2008-08-27 20:42:53
Pre-Run: 26 Verzeichnis(se), 218,445,955,072 Bytes frei
Post-Run: 29 Verzeichnis(se), 218,459,021,312 Bytes frei
265 --- E O F --- 2008-08-27 16:58:05
|
|
28.08.2008, 14:48
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner manuell entfernen? Das HijackThis Logfile hast Du mit einer veralteten Version erstellt, nimm bitte die aktuelle Version. Zitat:
 Einige Dateien sollten noch analysiert werden, stell dazu sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter I:\WINDOWS\system32\WinSecDrv.sys
I:\Programme\WordToPDF\PrInst.exe
D:\preinst.exe
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.08.2008, 17:56
| #15 |
| | Trojaner manuell entfernen? Hier das Ergebniss von Virustotal für I:\Programme\WordToPDF\PrInst.exe. I:\WINDOWS\system32\WinSecDrv.sys finde ich trotz versteckte Dateien anzeigen nicht Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.08.28 -
AntiVir 7.8.1.23 2008.08.28 -
Authentium 5.1.0.4 2008.08.28 -
Avast 4.8.1195.0 2008.08.28 -
AVG 8.0.0.161 2008.08.28 -
BitDefender 7.2 2008.08.28 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.28 -
DrWeb 4.44.0.09170 2008.08.28 -
eSafe 7.0.17.0 2008.08.27 -
eTrust-Vet 31.6.6054 2008.08.28 -
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.56 2008.08.28 -
F-Secure 7.60.13501.0 2008.08.28 -
Fortinet 3.14.0.0 2008.08.28 -
GData 19 2008.08.28 -
Ikarus T3.1.1.34.0 2008.08.28 VirTool.Win32.DelfInject.AF
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.28 -
McAfee 5372 2008.08.28 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3396 2008.08.28 -
Norman 5.80.02 2008.08.28 -
Panda 9.0.0.4 2008.08.27 -
PCTools 4.4.2.0 2008.08.28 -
Prevx1 V2 2008.08.28 -
Rising 20.59.31.00 2008.08.28 -
Sophos 4.33.0 2008.08.28 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.28 -
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.28 -
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.28 -
Webwasher-Gateway 6.6.2 2008.08.28 -
weitere Informationen
File size: 17408 bytes
MD5...: 1b490c2e6ff41a09cc2491f2e00aa86d
SHA1..: 6869c6e1172f05dcb218ef3caf5349e39518cc15
SHA256: 68b8b8639118c2568c8432f4173eb262e6bed85ba303e656109553c3bf75f288
SHA512: d1c156094b50891c32f99a522c4394917610b182bd0a684484de0f8fd4ca19da
051416806601ef7baeffda99db441be0fa32ed7a992a7b5857eb597250c45982
PEiD..: -
TrID..: File type identification
Win32 Executable Borland Delphi 6 (92.2%)
Win32 Executable Generic (2.9%)
Win32 Dynamic Link Library (generic) (2.6%)
Win16/32 Executable Delphi generic (0.7%)
Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x403e98
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x2fd8 0x3000 6.42 9e59e1b293f03068b5f6082ef251d90d
DATA 0x4000 0xa0 0x200 1.85 5fe8a1f414117b604dbd34229067b228
BSS 0x5000 0x689 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x6000 0x482 0x600 3.53 07196110e79d43e417082f8c1403c8da
.tls 0x7000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x8000 0x18 0x200 0.20 753527920e84ff25027979eeb2bca12a
.reloc 0x9000 0x390 0x400 6.21 6997c226329d565a00322ae9fd82a87c
.rsrc 0xa000 0x200 0x200 3.29 188b092b94e03568fb004a8d271f3304
( 7 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, GetThreadLocale, GetStartupInfoA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, MessageBoxA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> kernel32.dll: lstrlenA, WaitForSingleObject, GetLastError, GetExitCodeProcess, CreateProcessA, CloseHandle
> winspool.drv: OpenPrinterA, ClosePrinter
> shell32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA
( 0 exports )
|
|
| Themen zu Trojaner manuell entfernen? |
| ausspionieren, avast, bereit, entfernen, firewall, format, frage, gen, gesperrt, laden, lieferschein, locker, löschen, neustart, passwörter, plagegeister, programme, registry, scan, super, tastatureingaben, tool, tot, trojaner, updates, ups, win, win32, win32tiny-ur, win32zbot-ajx |
Linear-Darstellung
