| |
| |||||||
Log-Analyse und Auswertung: Ist der Trojaner noch da?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
21.09.2008, 11:35
| #1 |
 |  Ist der Trojaner noch da? Hallo Trojaner-Board, Ich hatte in den letzten Tagen einige verdächtige Probleme (wahrscheinlich) ausgelöst durch ein gefaktes Macromediaflash Update. Unter anderem wurden mir darauf folgend Trojan-Downloader.Win32.Agent.bq und andere ähnliche Malware entdeckt. Ich habe den Rechner drei Tage vor dem aktivieren dieses Problems gesetzt und einige verschiedene Virensucher im abgesicherten Modus laufen lassen. Weiterhin habe ich abschliesend diese beiden Logs erstellt und würde euch bitten mir zu sagen ob alles in Ordnung ist oder ob der Schein trügt? HiJackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:46:34, on 21.09.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe C:\Program Files\ATK Hotkey\ASLDRSrv.exe C:\Program Files\ATKGFNEX\GFNEXSrv.exe C:\Windows\System32\spoolsv.exe C:\Program Files\AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Windows\system32\svchost.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe C:\Program Files\ATKOSD2\ATKOSD2.exe C:\Windows\RtHDVCpl.exe C:\Windows\sm56hlpr.exe C:\Program Files\ATK Hotkey\Hcontrol.exe C:\Program Files\ATK Hotkey\MsgTranAgt.exe C:\Program Files\Wireless Console 2\wcourier.exe C:\Program Files\P4G\BatteryLife.exe C:\Program Files\ASUS\Splendid\ACMON.exe C:\Windows\System32\ACEngSvr.exe C:\Program Files\ATK Hotkey\ATKOSD.exe C:\Program Files\AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Program Files\ATK Hotkey\KBFiltr.exe C:\Program Files\ATK Hotkey\WDC.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\svchost.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe C:\Windows\system32\svchost.exe C:\Windows\system32\PSIService.exe C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\Program Files\Spyware Doctor\pctsAuxs.exe C:\Program Files\Spyware Doctor\pctsSvc.exe C:\Program Files\Spyware Doctor\pctsTray.exe C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\taskeng.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Programe\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Program Files\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Common Files\logishrd\LComMgr\Communications_Helper.exe C:\Program Files\Logitech\QuickCam\Quickcam.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Windows\system32\igfxsrvc.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Program Files\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht**tp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht**tp://www.asus.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht**tp://www.asus.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht**tp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht**tp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht**tp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\ASUSTek\ASUSDVD\Language\Language.exe" O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [IS CfgWiz] "C:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT" O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programe\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE" O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user') O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - ht**tp://favorites.live.com/quickadd.aspx O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://ht**tp://fpdownload2.macromed...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4D377678-9F4A-44FE-824E-3E6E03F9BD75}: NameServer = 217.237.149.205,217.237.151.51 O17 - HKLM\System\CCS\Services\Tcpip\..\{7ED9B69D-2B5D-4A7C-8CA8-899086669EF3}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{4D377678-9F4A-44FE-824E-3E6E03F9BD75}: NameServer = 217.237.149.205,217.237.151.51 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 13800 bytes Geändert von BieneMaya (21.09.2008 um 11:51 Uhr) Grund: leerzeilen geändert |
|
21.09.2008, 11:37
| #2 |
  | Ist der Trojaner noch da? Hi,
__________________kannst du bitte ein neues HijackThis Logfile posten, ohne Leerzeilen?  Am besten mach das in code-Tags: HTML-Code: [CODE]Hier das Logfile rein![/CODE]
__________________ |
|
21.09.2008, 11:58
| #3 |
| | Ist der Trojaner noch da? Und hier noch das eScan
__________________Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07
Microsoft Windows [Version 6.0.6001]
Bootmodus: Normal
eScan Version: 10.0.8
Sprache: German
C:\Users\ANDR~1\AppData\Local\Temp\MWAV.LOG
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1000\$RSLB420.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RY0V93F.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1000\$RJJYBZ2\Installer.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Preload\NERO7962\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan AntiVirus und Antispyware Toolkit.
C:\Windows\system32\drivers\ikfilesec.sys (40840), 14-Sep-2008, PCTools Research Pty Ltd., Spyware Doctor
C:\Windows\system32\drivers\iksysflt.sys (66952), 14-Sep-2008, PCTools Research Pty Ltd., Spyware Doctor
C:\Windows\system32\drivers\iksyssec.sys (81288), 14-Sep-2008, PCTools Research Pty Ltd., Spyware Doctor
C:\Windows\system32\drivers\kcom.sys (29576), 14-Sep-2008, PCTools Research Pty Ltd., Spyware Doctor
C:\Program Files\Spyware Doctor, 14-Sep-2008 [Ordner]
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
eScan AntiVirus und Antispyware Toolkit.
Scannen Spyware: Deaktiviert
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe - C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
csrss.exe - C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
wininit.exe - wininit.exe
winlogon.exe - winlogon.exe
services.exe - C:\Windows\system32\services.exe
lsass.exe - C:\Windows\system32\lsass.exe
lsm.exe - C:\Windows\system32\lsm.exe
svchost.exe - C:\Windows\system32\svchost.exe -k DcomLaunch
svchost.exe - C:\Windows\system32\svchost.exe -k rpcss
svchost.exe - C:\Windows\System32\svchost.exe -k secsvcs
svchost.exe - C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
svchost.exe - C:\Windows\system32\svchost.exe -k netsvcs
svchost.exe - C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
svchost.exe - C:\Windows\system32\svchost.exe -k NetworkService
svchost.exe - C:\Windows\system32\svchost.exe -k LocalService
svchost.exe - C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
svchost.exe - C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
pctsAuxs.exe - "C:\Program Files\Spyware Doctor\pctsAuxs.exe"
pctsSvc.exe - "C:\Program Files\Spyware Doctor\pctsSvc.exe"
explorer.exe - C:\Windows\Explorer.EXE
unsecapp.exe - C:\Windows\system32\wbem\unsecapp.exe -Embedding
AcroRd32.exe - "C:\Programe\Adobe\Reader 8.0\Reader\AcroRd32.exe" "C:\Users\Andr‚\Desktop\escan_router.pdf"
WmiPrvSE.exe - C:\Windows\system32\wbem\wmiprvse.exe
igfxsrvc.exe - C:\Windows\system32\igfxsrvc.exe -Embedding
explorer.exe - "C:\Windows\explorer.exe" /n,/select,"C:\Users\Andr‚\Downloads\mwav(2).exe"
cmd.exe - "C:\Windows\system32\cmd.exe"
firefox.exe - "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "http://files.trojaner-board.de/find.bat"
ntvdm.exe - "C:\Windows\system32\ntvdm.exe"
cmd.exe - cmd /c ""C:\Users\Andr‚\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
WmiPrvSE.exe - C:\Windows\system32\wbem\wmiprvse.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry IS CfgWiz = "C:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT" (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
ERROR!!! ScanFile fails for C:\Users\André\Desktop\eclipse-java-europa-winter-win32.zip
ERROR!!! ScanFile fails for C:\Users\André\Desktop\mwav(2).exe
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~1\plugins\OR04BE~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~1\plugins\ORB6BA~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~1\plugins\ORB962~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~2\plugins\OR04BE~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~2\plugins\OR5625~1.V20\src\ORCB01~1.V20\src.zip
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~2\plugins\ORB6BA~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~2\plugins\ORB962~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\pack\ECLIPS~1.ZIP
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\pack\VE-RUN~1.ZIP
ERROR!!! Invalid Entry \SystemRoot\system32\drivers\blbdrive.sys in SYSTEM\CurrentControlSet\Services\blbdrive. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\ipinip.sys in SYSTEM\CurrentControlSet\Services\IpInIp. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\nwlnkflt.sys in SYSTEM\CurrentControlSet\Services\NwlnkFlt. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\nwlnkfwd.sys in SYSTEM\CurrentControlSet\Services\NwlnkFwd. Action Taken: No Action Taken.
ERROR!!! ScanFile fails for C:\Windows\bthservsdp.dat
ERROR!!! ScanFile fails for C:\Users\ANDR~1\AppData\Local\Temp\etilqs_DEgSQoL9pl1VIIBDpKY7-journal
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$R0D0JWH.zip
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$R1DCCHB.2_17\lib\rt.jar
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$R5DV5SH.exe
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-~3\$R98P1DU\TARGET~2.ZIP
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$R98P1DU\targeteam-0.5.9-devel.zip
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RCCL43J\plugins\org.eclipse.jdt.doc.isv_3.2.0.v20060605-1400.jar
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RCCL43J\plugins\org.eclipse.jdt.source_3.2.0.v20060609m-F7snq1fxia-Z4XP\src\org.eclipse.jdt.ui_3.2.0.v20060605-1400\src.zip
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RCCL43J\plugins\org.eclipse.jdt.ui_3.2.0.v20060605-1400.jar
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RCCL43J\plugins\org.eclipse.platform.doc.isv_3.2.0.v20060612-0900.jar
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RHQU824.jar
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RKH39D4.zip
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RLQDJU8.zip
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RO7EPSU.zip
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$ROC16VX.zip
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RS3FWCP.zip
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RUH0EU5.0_05\lib\rt.jar
ERROR!!! ScanFile fails for C:\$RECYCLE.BIN\S-1-5-21-2154625323-4076870113-2024754731-1001\$RZWMIUN.zip
ERROR!!! ScanFile fails for C:\Boot\BCD
ERROR!!! ScanFile fails for C:\Boot\BCD.LOG
ERROR!!! ScanFile fails for C:\Daten\Diplomarbeit\eclipse\plugins\org.eclipse.jdt.ui_3.3.2.r332_20080128.jar
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK1(~1\ad\native\FILE00~3
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK1(~1\ad\native\FILE00~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK1(~1\ad\plugins\FIE4A7~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK1(~1\ad\plugins\FIF400~5
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK1(~1\ad\plugins\FIBC87~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK1(~1\ad\plugins\FI9CD7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIE4D7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIF4D7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI05D7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI74E7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI84E7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI94E7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIA4E7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIB4E7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIC4E7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FID4E7~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIC49F~2
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIF4FF~3
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIF408~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIB4AF~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIF4AF~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIC4EF~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIE4EF~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIE4FF~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI0500~4
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI3500~1
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\VISUAL~1\ECLIPS~1\plugins\OR04BE~1.JAR
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\VISUAL~1\ECLIPS~1\plugins\ORB6BA~1.JAR
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\VISUAL~1\ECLIPS~1\plugins\ORB962~1.JAR
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\VISUAL~1\ECLIPS~2\plugins\OR04BE~1.JAR
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\VISUAL~1\ECLIPS~2\plugins\ORB6BA~1.JAR
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\VISUAL~1\ECLIPS~2\plugins\ORB962~1.JAR
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\VISUAL~1\pack\ECLIPS~1.ZIP
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\VISUAL~1\pack\VE-RUN~1.ZIP
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\WEITER~1\TARGET~4.ZIP
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\WEITER~1\TARGET~2.ZIP
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\WEITER~1\TARGET~3.ZIP
ERROR!!! ScanFile fails for C:\Daten\DIPLOM~1\WEITER~1\TARGET~1.ZIP
ERROR!!! ScanFile fails for C:\Daten\GESPEI~1\ECLIPS~1.ZIP
ERROR!!! ScanFile fails for C:\IBM\INSTAL~1\eclipse\jre\lib\core.jar
ERROR!!! ScanFile fails for C:\IBM\INSTAL~1\eclipse\jre\lib\graphics.jar
ERROR!!! ScanFile fails for C:\IBM\INSTAL~1\eclipse\native\JREWIN~1.ZIP
ERROR!!! ScanFile fails for C:\IBM\SDP70Shared\native\com.ibm.java.win32.jdk_5.0.0.sr3_20061012.zip
ERROR!!! ScanFile fails for C:\IBM\SDP70Shared\plugins\org.eclipse.emf.doc_2.2.1.v200609210005\doc.zip
ERROR!!! ScanFile fails for C:\IBM\SDP70Shared\plugins\org.eclipse.jdt.doc.user.nl1_3.2.0.v200609270227.jar
ERROR!!! ScanFile fails for C:\IBM\SDP70Shared\plugins\org.eclipse.jdt.ui_3.2.1.r321_v20060907.jar
ERROR!!! ScanFile fails for C:\IBM\SDP70Shared\plugins\org.eclipse.platform.doc.user.nl1_3.2.1.v200609270227.jar
ERROR!!! ScanFile fails for C:\IBM\SDP71\jdk\docs\apidoc.zip
ERROR!!! ScanFile fails for C:\IBM\SDP71\jdk\jre\lib\core.jar
ERROR!!! ScanFile fails for C:\IBM\SDP71\jdk\jre\lib\graphics.jar
ERROR!!! ScanFile fails for C:\IBM\SDP71\jdk\src.jar
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\PROGRA~1\COMMON~1\Java\Update\BASEIM~1\JDK160~1.B10\PATCH-~1.B02\javadb.msi
ERROR!!! ScanFile fails for C:\PROGRA~1\COMMON~1\Java\Update\BASEIM~1\JDK160~1.B10\src.zip
ERROR!!! ScanFile fails for C:\PROGRA~1\COMMON~1\Java\Update\BASEIM~1\JDK160~1.B10\tools.zip
ERROR!!! ScanFile fails for C:\PROGRA~1\COMMON~1\WINDOW~1\MSISOU~1\INSTAL~1.MSI
ERROR!!! ScanFile fails for C:\PROGRA~1\COMMON~1\WISEIN~1\WISDED~1.MSI
Result: ERROR!!! File C:\Program Files\ICQ6\ConfigFiles\TopSearches.7z: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\PROGRA~1\ICQ6\CONFIG~1\TOPSEA~1.7Z
Result: ERROR!!! File C:\Program Files\ICQ6\ConfigFiles\TopSearchesDe.7z: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\PROGRA~1\ICQ6\CONFIG~1\TOPSEA~2.7Z
ERROR!!! ScanFile fails for C:\PROGRA~1\Java\JDK16~1.0_0\jre\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\Java\JDK16~1.0_0\lib\ct.sym
ERROR!!! ScanFile fails for C:\PROGRA~1\Java\JDK16~1.0_0\src.zip
ERROR!!! ScanFile fails for C:\PROGRA~1\Java\JRE16~1.0_0\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\WORDPE~1\CabsDE\QPHelp.cab
ERROR!!! ScanFile fails for C:\PROGRA~1\WORDPE~1\CabsDE\WPHelp.cab
ERROR!!! ScanFile fails for C:\ProgramData\Skype\{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}\Skype.msi
ERROR!!! ScanFile fails for C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
ERROR!!! ScanFile fails for C:\System Volume Information\{48ed8bd3-7d6f-11dd-b1fe-001e8cd54655}{3808876b-c176-4e48-b7ae-04046e6cc752}
ERROR!!! ScanFile fails for C:\System Volume Information\{75b06431-81b6-11dd-8b70-001e8cd54655}{3808876b-c176-4e48-b7ae-04046e6cc752}
ERROR!!! ScanFile fails for C:\System Volume Information\{7cad4dfa-7ca4-11dd-a0df-001e8cd54655}{3808876b-c176-4e48-b7ae-04046e6cc752}
ERROR!!! ScanFile fails for C:\System Volume Information\{97a3c225-81b8-11dd-9522-001e8cd54655}{3808876b-c176-4e48-b7ae-04046e6cc752}
ERROR!!! ScanFile fails for C:\System Volume Information\{be07a5d2-8230-11dd-a412-001e8cd54655}{3808876b-c176-4e48-b7ae-04046e6cc752}
ERROR!!! ScanFile fails for C:\System Volume Information\{fe9d4033-7e73-11dd-9af4-001e8cd54655}{3808876b-c176-4e48-b7ae-04046e6cc752}
Result: ERROR!!! File C:\targeteam.patch is Not Scanned
ERROR!!! ScanFile fails for C:\Users\André\AppData\Local\Adobe\Acrobat\8.0\Updater\updater.log
ERROR!!! ScanFile fails for C:\Users\André\AppData\Local\Microsoft\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\Users\André\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1
ERROR!!! ScanFile fails for C:\Users\André\AppData\Local\Temp\etilqs_DEgSQoL9pl1VIIBDpKY7-journal
ERROR!!! ScanFile fails for C:\Users\ANDR~1\AppData\Local\{35A3A~1\JAVA2S~1.MSI
ERROR!!! ScanFile fails for C:\Users\André\AppData\LocalLow\Sun\Java\jdk1.6.0_06\sb160060.cab
ERROR!!! ScanFile fails for C:\Users\André\AppData\LocalLow\Sun\Java\jdk1.6.0_06\sd160000.cab
ERROR!!! ScanFile fails for C:\Users\André\AppData\LocalLow\Sun\Java\jdk1.6.0_06\ss160000.cab
ERROR!!! ScanFile fails for C:\Users\André\AppData\LocalLow\Sun\Java\jdk1.6.0_06\st160000.cab
ERROR!!! ScanFile fails for C:\Users\André\AppData\Roaming\Mozilla\Firefox\Profiles\81f3f5t2.default\places.sqlite-journal
ERROR!!! ScanFile fails for C:\Users\André\Desktop\eclipse-java-europa-winter-win32.zip
ERROR!!! ScanFile fails for C:\Users\André\Desktop\mwav(2).exe
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~1\plugins\OR04BE~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~1\plugins\ORB6BA~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~1\plugins\ORB962~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~2\plugins\OR04BE~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~2\plugins\OR5625~1.V20\src\ORCB01~1.V20\src.zip
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~2\plugins\ORB6BA~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\ECLIPS~2\plugins\ORB962~1.JAR
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\pack\ECLIPS~1.ZIP
ERROR!!! ScanFile fails for C:\Users\ANDR~1\Desktop\VISUAL~1\pack\VE-RUN~1.ZIP
ERROR!!! ScanFile fails for C:\Users\André\ntuser.dat
ERROR!!! ScanFile fails for C:\Users\André\ntuser.dat.LOG1
ERROR!!! ScanFile fails for C:\Users\André\Targeteamplatz\targeteam-0.5.9-devel.zip
ERROR!!! ScanFile fails for C:\Users\Nicole\AppData\Local\Temp\qc_a402013b_7656_4f6f_b57f_5a8ef69f5fc4_32.exe
ERROR!!! ScanFile fails for C:\Windows\bthservsdp.dat
ERROR!!! ScanFile fails for C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
ERROR!!! ScanFile fails for C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
ERROR!!! ScanFile fails for C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
ERROR!!! ScanFile fails for C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
ERROR!!! ScanFile fails for C:\Windows\SoftwareDistribution\Download\849e9b1219110b6a8fe90f980141bb16\windows6.0-kb936330-X86-express.cab
ERROR!!! ScanFile fails for C:\Windows\SoftwareDistribution\Download\b2ee164db645e6bc8d77bb51f082e3b3\windows6.0-kb936330-X86-express.cab
ERROR!!! ScanFile fails for C:\Windows\System32\catroot2\edb.log
ERROR!!! ScanFile fails for C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
ERROR!!! ScanFile fails for C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
ERROR!!! ScanFile fails for C:\Windows\System32\config\COMPONENTS
ERROR!!! ScanFile fails for C:\Windows\System32\config\COMPONENTS.LOG1
ERROR!!! ScanFile fails for C:\Windows\System32\config\DEFAULT
ERROR!!! ScanFile fails for C:\Windows\System32\config\DEFAULT.LOG1
ERROR!!! ScanFile fails for C:\Windows\System32\config\RegBack\COMPONENTS
ERROR!!! ScanFile fails for C:\Windows\System32\config\RegBack\DEFAULT
ERROR!!! ScanFile fails for C:\Windows\System32\config\RegBack\SAM
ERROR!!! ScanFile fails for C:\Windows\System32\config\RegBack\SECURITY
ERROR!!! ScanFile fails for C:\Windows\System32\config\RegBack\SOFTWARE
ERROR!!! ScanFile fails for C:\Windows\System32\config\RegBack\SYSTEM
ERROR!!! ScanFile fails for C:\Windows\System32\config\SAM
ERROR!!! ScanFile fails for C:\Windows\System32\config\SAM.LOG1
ERROR!!! ScanFile fails for C:\Windows\System32\config\SECURITY
ERROR!!! ScanFile fails for C:\Windows\System32\config\SECURITY.LOG1
ERROR!!! ScanFile fails for C:\Windows\System32\config\SOFTWARE
ERROR!!! ScanFile fails for C:\Windows\System32\config\SOFTWARE.LOG1
ERROR!!! ScanFile fails for C:\Windows\System32\config\SYSTEM
ERROR!!! ScanFile fails for C:\Windows\System32\config\SYSTEM.LOG1
ERROR!!! ScanFile fails for C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
ERROR!!! ScanFile fails for C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
ERROR!!! ScanFile fails for C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
ERROR!!! ScanFile fails for C:\Windows\System32\spool\drivers\w32x86\PCC\mp520pr.inf_01fdaf8d.cab
ERROR!!! ScanFile fails for C:\Windows\Temp\Got43B5.tmp
ERROR!!! ScanFile fails for C:\Windows\Temp\Got696C.tmp
ERROR!!! ScanFile fails for C:\Windows\Temp\Got8959.tmp
ERROR!!! ScanFile fails for C:\Windows\Temp\GotB3A6.tmp
ERROR!!! ScanFile fails for D:\Diplomarbeit\eclipse\plugins\org.eclipse.jdt.ui_3.3.2.r332_20080128.jar
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK1(~1\ad\native\FILE00~3
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK1(~1\ad\native\FILE00~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK1(~1\ad\plugins\FIE4A7~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK1(~1\ad\plugins\FIF400~5
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK1(~1\ad\plugins\FIBC87~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK1(~1\ad\plugins\FI9CD7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIE4D7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIF4D7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI05D7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI74E7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI84E7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI94E7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIA4E7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIB4E7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIC4E7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FID4E7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIC49F~2
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIF4FF~3
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIF408~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIB4AF~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIF4AF~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIC4EF~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIE4EF~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FIE4FF~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI0500~4
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI3500~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\UML\DISK2(~1\ad\plugins\FI45A7~1
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\ECLIPS~1\plugins\OR04BE~1.JAR
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\ECLIPS~1\plugins\OR5625~1.V20\src\ORCB01~1.V20\src.zip
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\ECLIPS~1\plugins\ORB6BA~1.JAR
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\ECLIPS~1\plugins\ORB962~1.JAR
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\ECLIPS~2\plugins\OR04BE~1.JAR
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\ECLIPS~2\plugins\OR5625~1.V20\src\ORCB01~1.V20\src.zip
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\ECLIPS~2\plugins\ORB6BA~1.JAR
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\ECLIPS~2\plugins\ORB962~1.JAR
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\pack\ECLIPS~1.ZIP
ERROR!!! ScanFile fails for D:\DIPLOM~1\VISUAL~1\pack\VE-RUN~1.ZIP
ERROR!!! ScanFile fails for D:\DIPLOM~1\WEITER~1\TARGET~1.ZIP
ERROR!!! ScanFile fails for D:\DIPLOM~1\WEITER~1\TARGET~2.ZIP
ERROR!!! ScanFile fails for D:\DIPLOM~1\WEITER~1\TARGET~1.JAR
ERROR!!! ScanFile fails for D:\ubuntu-8.04.1-desktop-i386.iso
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\Windows\System32\drivers\etc\hosts:
C:\Windows\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\Windows\System32\drivers\etc\hosts:::1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 213055
Zahl der kritischen Objekte: 4
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 8
Zeit verstrichen: 03:59:02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert
Batchstart: 14:55:01,44
Batchende: 14:55:24,48
|
|
21.09.2008, 12:00
| #4 |
| | Ist der Trojaner noch da? Folgt das HijackThis Log noch?
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
21.09.2008, 12:24
| #5 |
| | Ist der Trojaner noch da? Das im ersten Beitrag ist nicht gut? Ich habe die Leerzeilen entfernt. |
|
21.09.2008, 14:29
| #6 |
| | Ist der Trojaner noch da? Sorry, das hab ich voll übersehen.  Naja, weiter zur Analsye: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\Program Files\ATKOSD2\ATKOSD2.exe
Und entferne die Symantec-Reste mit dem Removal Tool.
__________________ --> Ist der Trojaner noch da? |
|
21.09.2008, 18:24
| #7 |
| | Ist der Trojaner noch da? Versteckte Dateien anzeigen hab ich nicht gemacht, ich habe die Vista Festplatte aus einem Linux BS gemountet und die Datei wurde angezeigt. Falls ich diese online Virussuche aus Vista machen muß bitte nochmal Bescheid geben (Wollte vermeiden Vista zu starten weil ich über die Lage des Systems noch unsicher bin.) Hier das Ergebniss der VirusTotal für ATKOSD2.exe Auswertung: Code:
ATTFilter AhnLab-V3 2008.9.19.2 2008.09.19 -
AntiVir 7.8.1.34 2008.09.21 -
Authentium 5.1.0.4 2008.09.21 -
Avast 4.8.1195.0 2008.09.20 -
AVG 8.0.0.161 2008.09.21 -
BitDefender 7.2 2008.09.21 -
CAT-QuickHeal 9.50 2008.09.20 -
ClamAV 0.93.1 2008.09.21 -
DrWeb 4.44.0.09170 2008.09.21 -
eSafe 7.0.17.0 2008.09.21 -
eTrust-Vet 31.6.6098 2008.09.21 -
Ewido 4.0 2008.09.21 -
F-Prot 4.4.4.56 2008.09.21 -
F-Secure 8.0.14332.0 2008.09.21 -
Fortinet 3.113.0.0 2008.09.21 -
GData 19 2008.09.21 -
Ikarus T3.1.1.34.0 2008.09.21 -
K7AntiVirus 7.10.466 2008.09.20 -
Kaspersky 7.0.0.125 2008.09.21 -
McAfee 5388 2008.09.19 -
Microsoft 1.3903 2008.09.21 -
NOD32v2 3458 2008.09.21 -
Norman 5.80.02 2008.09.19 -
Panda 9.0.0.4 2008.09.21 -
PCTools 4.4.2.0 2008.09.21 -
Prevx1 V2 2008.09.21 -
Rising 20.62.62.00 2008.09.21 -
Sophos 4.33.0 2008.09.21 -
Sunbelt 3.1.1653.1 2008.09.20 -
Symantec 10 2008.09.21 -
TheHacker 6.3.0.9.090 2008.09.20 -
TrendMicro 8.700.0.1004 2008.09.20 -
VBA32 3.12.8.5 2008.09.20 -
ViRobot 2008.9.20.1385 2008.09.20 -
VirusBuster 4.5.11.0 2008.09.21 -
Webwasher-Gateway 6.6.2 2008.09.21 -
weitere Informationen
File size: 7737344 bytes
MD5...: edeeab02f1a6828dff61ff50059baf0a
SHA1..: 8f28e41a59a6a20eb20a5c2d6d858bab71d460eb
SHA256: fc34649332331dc198f1d09b1b1226ad2cc9529372e0059fddc5a59d24732b79
SHA512: 9f86c1416236bb36c4f20679877439d6fd46db7985921be1f3e3e5b2b05cb429
93cf849ac2d8a4fd5f018c4e212a12cb305c8afcfd8b989bca8319f1b7d50de7
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x43c242
timedatestamp.....: 0x4715ec1d (Wed Oct 17 11:03:57 2007)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x52c64 0x53000 6.53 e5125eaf13adcad812bfea9572c55927
.rdata 0x54000 0x18092 0x19000 4.58 ccbf10c2aceedceb2d1293231c0716b7
.data 0x6d000 0x6d38 0x3000 4.26 5dbe995f7926d6a96525a2b7365d0277
.rsrc 0x74000 0x6f01d0 0x6f1000 7.97 2b4f346cbb3423fb5e3b414fd1360e94
( 13 imports )
> gdiplus.dll: GdipDrawImageRectI, GdipDeleteGraphics, GdipGetImageWidth, GdipGetImageHeight, GdipCreateFromHDC, GdiplusStartup, GdiplusShutdown, GdipAlloc, GdipFree, GdipCreateBitmapFromStream, GdipDisposeImage, GdipCloneImage
> KERNEL32.dll: DuplicateHandle, FindClose, FindFirstFileW, GetVolumeInformationW, GetFullPathNameW, SetErrorMode, GetTickCount, FileTimeToLocalFileTime, GetFileAttributesW, GetFileTime, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoW, HeapReAlloc, RtlUnwind, RaiseException, ExitProcess, HeapSize, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetStdHandle, GetFileSize, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetSystemTimeAsFileTime, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, GetCPInfo, GetACP, GetOEMCP, GetTimeZoneInformation, GetConsoleCP, GetConsoleMode, GetLocaleInfoA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, SetEnvironmentVariableA, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, InterlockedIncrement, FileTimeToSystemTime, GetThreadLocale, GetModuleHandleA, CloseHandle, GlobalAddAtomW, GlobalFindAtomW, CompareStringW, LoadLibraryA, GetVersionExA, InterlockedDecrement, WritePrivateProfileStringW, FreeResource, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetVersion, EnumResourceLanguagesW, GetLocaleInfoW, LoadLibraryW, CompareStringA, InterlockedExchange, lstrcmpW, GlobalDeleteAtom, GetModuleHandleW, GetCurrentProcessId, GetModuleFileNameW, lstrlenA, lstrcmpA, SetLastError, FormatMessageW, LocalFree, lstrlenW, MulDiv, WideCharToMultiByte, MultiByteToWideChar, CreateThread, GetLastError, CreateMutexW, OpenMutexW, DeviceIoControl, CreateFileW, GetCurrentProcess, GetProcAddress, GetModuleHandleExW, FreeLibrary, GlobalLock, GlobalAlloc, LoadResource, LockResource, SizeofResource, FindResourceW, GlobalFree, GlobalUnlock, GetModuleFileNameA
> USER32.dll: ReleaseCapture, CharNextW, CopyAcceleratorTableW, IsRectEmpty, InvalidateRect, InvalidateRgn, GetNextDlgGroupItem, MessageBeep, UnregisterClassW, CharUpperW, RegisterClipboardFormatW, PostThreadMessageW, DestroyMenu, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, SetCursor, GetMessageW, TranslateMessage, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapW, ModifyMenuW, EnableMenuItem, CheckMenuItem, GetDesktopWindow, GetActiveWindow, CreateDialogIndirectParamW, GetNextDlgTabItem, EndDialog, RegisterWindowMessageW, UnregisterClassA, SendDlgItemMessageA, WinHelpW, IsChild, SetWindowsHookExW, CallNextHookEx, GetClassLongW, GetClassNameW, SetPropW, GetPropW, RemovePropW, GetFocus, IsWindow, SetFocus, GetWindowTextW, GetForegroundWindow, SetActiveWindow, DispatchMessageW, GetDlgItem, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, PeekMessageW, GetKeyState, SetForegroundWindow, IsWindowVisible, UpdateWindow, GetMenu, CreateWindowExW, GetClassInfoExW, RegisterClassW, GetSysColor, AdjustWindowRectEx, EqualRect, CopyRect, GetDlgCtrlID, DefWindowProcW, CallWindowProcW, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, UnhookWindowsHookEx, GetWindow, SetWindowContextHelpId, MapDialogRect, GetWindowThreadProcessId, GetParent, GetLastActivePopup, IsWindowEnabled, MessageBoxW, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, PtInRect, SetCapture, LoadCursorW, GetSysColorBrush, ShowWindow, EnableWindow, GetWindowRect, MoveWindow, SetWindowTextW, IsDialogMessageW, GetCapture, SetWindowPos, PostQuitMessage, ReleaseDC, UpdateLayeredWindow, GetDC, KillTimer, PostMessageW, SetTimer, GetWindowLongW, SetWindowLongW, SendMessageW, AppendMenuW, GetSystemMenu, DrawIcon, GetClientRect, GetSystemMetrics, IsIconic, LoadIconW, GetClassInfoW, SetRect, MapWindowPoints, SendDlgItemMessageW
> GDI32.dll: RectVisible, TextOutW, ExtTextOutW, Escape, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, ExtSelectClipRgn, GetStockObject, PtVisible, SaveDC, GetBkColor, GetTextColor, CreateRectRgnIndirect, GetRgnBox, GetMapMode, GetWindowExtEx, RestoreDC, GetViewportExtEx, CreateBitmap, GetObjectW, SetBkColor, SetTextColor, GetClipBox, GetDeviceCaps, DeleteObject, DeleteDC, SelectObject, CreateDIBSection, CreateCompatibleDC, SetMapMode
> MSIMG32.dll: AlphaBlend
> COMDLG32.dll: GetFileTitleW
> WINSPOOL.DRV: DocumentPropertiesW, ClosePrinter, OpenPrinterW
> ADVAPI32.dll: RegSetValueExW, RegQueryValueW, RegEnumKeyW, RegDeleteKeyW, RegCloseKey, RegCreateKeyExW, RegOpenKeyExW, RegQueryValueExW, RegOpenKeyW
> COMCTL32.dll: InitCommonControlsEx
> SHLWAPI.dll: PathFindFileNameW, PathStripToRootW, PathFindExtensionW, PathIsUNCW
> oledlg.dll: OleUIBusyW
> ole32.dll: CoTaskMemAlloc, CLSIDFromProgID, CoTaskMemFree, CreateStreamOnHGlobal, CLSIDFromString, CoGetClassObject, CoRegisterMessageFilter, OleFlushClipboard, OleIsCurrentClipboard, CoRevokeClassObject, OleInitialize, CoFreeUnusedLibraries, OleUninitialize, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, StgOpenStorageOnILockBytes
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -
( 0 exports )
|
|
21.09.2008, 18:30
| #8 |
| | Ist der Trojaner noch da? Okay, dann führe die folgenden Punkte bitte zur weiteren Analyse aus: 1.) Blacklight scannen lassen
2.) MalwareBytes Anti-Malware :
3.) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
22.09.2008, 07:41
| #9 |
| | Ist der Trojaner noch da? Bevor ich alles umsonst mache eine generelle Frage. Die Scans müssen oder können im abgesicherten Modus ausgeführt werden? |
|
22.09.2008, 08:50
| #10 |
| | Ist der Trojaner noch da? Nein müssen sie nicht. Ich hätts dir schon gesagt, wenn es der Fall wäre. 
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
22.09.2008, 09:17
| #11 |
| | Ist der Trojaner noch da? blacklight habe ich heruntergeladen (es war aber fsbl.exe nicht wie du es benannt hattest) das log sieht man hier: Code:
ATTFilter 09/22/08 08:45:37 [Info]: BlackLight Engine 1.0.70 initialized
09/22/08 08:45:37 [Info]: OS: 6.0 build 6001 (Service Pack 1)
09/22/08 08:45:37 [Note]: 7019 4
09/22/08 08:45:37 [Note]: 7005 0
09/22/08 08:47:03 [Note]: 7006 0
09/22/08 08:47:03 [Note]: 7027 0
09/22/08 08:47:03 [Note]: 7035 0
09/22/08 08:47:03 [Note]: 7026 0
09/22/08 08:47:03 [Note]: 7026 0
09/22/08 08:47:06 [Note]: FSRAW library version 1.7.1024
09/22/08 08:47:07 [Info]: Hidden file: c:\ADSM_PData_0150\DB\SI.db
09/22/08 08:47:07 [Note]: 10002 3
09/22/08 08:47:07 [Info]: Hidden file: c:\ADSM_PData_0150\DB\UL.db
09/22/08 08:47:07 [Note]: 10002 3
09/22/08 08:47:07 [Info]: Hidden file: c:\ADSM_PData_0150\DB\VL.db
09/22/08 08:47:07 [Note]: 10002 3
09/22/08 08:47:07 [Info]: Hidden file: c:\ADSM_PData_0150\DB\_avt
09/22/08 08:47:07 [Note]: 10002 3
09/22/08 08:47:07 [Info]: Hidden file: c:\ADSM_PData_0150\DragWait.exe
09/22/08 08:47:07 [Note]: 10002 3
09/22/08 08:47:07 [Info]: Hidden file: c:\ADSM_PData_0150\_avt
09/22/08 08:47:07 [Note]: 10002 3
09/22/08 08:49:14 [Note]: 4015 28041
09/22/08 08:49:14 [Note]: 4027 28041 131072
09/22/08 08:49:14 [Note]: 4020 28040 131072
09/22/08 08:49:14 [Note]: 4018 28040 131072
09/22/08 08:49:41 [Note]: 4015 2063
09/22/08 08:49:41 [Note]: 4027 2063 65536
09/22/08 08:49:41 [Note]: 4020 734 65536
09/22/08 08:49:41 [Note]: 4018 734 65536
09/22/08 08:57:03 [Note]: 7007 0
|
|
22.09.2008, 09:19
| #12 | |
| | Ist der Trojaner noch da?Zitat:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
22.09.2008, 09:47
| #13 |
| | Ist der Trojaner noch da? hier das Malwarebytes log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1190
Windows 6.0.6001 Service Pack 1
22.09.2008 10:44:28
mbam-log-2008-09-22 (10-44-28).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 237762
Laufzeit: 44 minute(s), 55 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
22.09.2008, 10:32
| #14 |
| | Ist der Trojaner noch da? Nach dem erfolgreichen starten und benutzen von CCleaner wollte ich den vorletzten Punkt unter 3.) ausführen. Als ich Combofix per Doppelklick gestartet habe (Windows Defender Dienst und alle Avira sowie die Windows Firewall waren beendet) und nach ca 10 Minuten nichts passiert ist ausser der Ladebalken ganz am Anfang. Habe ich gewagt Combofix erneut auszuführen, diesmal als Administrator. Die Suche nach infizierten Dateien läuft gerade. |
|
22.09.2008, 10:58
| #15 |
| | Ist der Trojaner noch da? Und hier das Combofix Logfile Teil I: Code:
ATTFilter ComboFix 08-09-20.05 - Andr‚ 2008-09-22 11:27:38.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.1.1031.18.240 [GMT 2:00]
ausgeführt von:: C:\Users\Andr‚\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Windows\system32\x64
.
((((((((((((((((((((((( Dateien erstellt von 2008-08-22 bis 2008-09-22 ))))))))))))))))))))))))))))))
.
2008-09-22 11:17 . 2008-09-22 11:25 <DIR> d-------- C:\32788R22FWJFW
2008-09-22 11:08 . 2008-09-22 11:08 <DIR> d-------- C:\Program Files\CCleaner
2008-09-22 08:59 . <DIR> C:\Users\André\AppData\Roaming\Malwarebytes
2008-09-22 08:59 . 2008-09-22 08:59 <DIR> d-------- C:\ProgramData\Malwarebytes
2008-09-22 08:59 . 2008-09-10 00:04 38,528 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-09-22 08:59 . 2008-09-10 00:03 17,200 --a------ C:\Windows\System32\drivers\mbam.sys
2008-09-22 08:57 . 2008-09-22 08:59 <DIR> d-------- C:\mbytes
2008-09-22 08:44 . 2008-09-22 08:45 <DIR> d-------- C:\blacklight
2008-09-21 11:35 . 2008-09-21 11:35 <DIR> d-------- C:\Program Files\Trend Micro
2008-09-14 14:55 . 2008-09-14 14:55 <DIR> d-------- C:\escan
2008-09-14 14:48 . 2008-09-14 14:48 26 --a------ C:\23990098.$$$
2008-09-14 11:13 . 2008-09-14 11:13 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-09-14 10:45 . 2008-09-14 10:45 <DIR> d-a------ C:\Windows\zts2.exe
2008-09-14 10:45 . 2008-09-14 10:45 <DIR> d-a------ C:\Windows\System32\vcmgcd32.dll
2008-09-14 10:45 . 2008-09-14 10:45 <DIR> d-a------ C:\Windows\System32\iifgfgf.dll
2008-09-14 10:45 . 2008-09-14 10:45 <DIR> d-a------ C:\Windows\rundll16.exe
2008-09-14 10:45 . 2008-09-14 10:45 <DIR> d-a------ C:\Windows\rundl132.dll
2008-09-14 10:45 . 2008-09-14 10:45 <DIR> d-a------ C:\Windows\logo1_.exe
2008-09-14 10:43 . 2008-09-14 10:43 <DIR> d-------- C:\ProgramData\MicroWorld
2008-09-14 10:43 . 2008-09-14 10:43 <DIR> d-------- C:\ProgramData\Kaspersky SDK
2008-09-14 10:43 . 2008-09-14 10:45 52 --a------ C:\Windows\Lic.xxx
2008-09-14 10:06 . 2008-07-31 03:13 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-09-14 10:06 . 2008-07-31 05:32 28,160 --a------ C:\Windows\System32\Apphlpdm.dll
2008-09-14 10:05 . 2008-06-26 05:29 303,616 --a------ C:\Windows\System32\wmpeffects.dll
2008-09-14 09:59 . 2008-08-02 03:01 625,152 --a------ C:\Windows\System32\drivers\dxgkrnl.sys
2008-09-14 09:59 . 2008-06-26 05:29 565,248 --a------ C:\Windows\System32\emdmgmt.dll
2008-09-14 09:59 . 2008-05-08 21:21 211,968 --a------ C:\Windows\System32\drivers\mrxsmb10.sys
2008-09-14 09:59 . 2008-05-20 04:07 148,480 --a------ C:\Windows\System32\drivers\nwifi.sys
2008-09-14 09:59 . 2008-06-26 05:29 45,056 --a------ C:\Windows\System32\dataclen.dll
2008-09-14 09:59 . 2008-08-02 05:26 36,864 --a------ C:\Windows\System32\cdd.dll
2008-09-14 09:55 . <DIR> C:\Users\André\AppData\Roaming\PC Tools
2008-09-14 09:55 . 2008-09-22 08:44 <DIR> d-a------ C:\ProgramData\TEMP
2008-09-14 09:55 . 2008-09-21 11:15 <DIR> d-------- C:\Program Files\Spyware Doctor
2008-09-14 09:55 . 2008-08-25 11:36 81,288 --a------ C:\Windows\System32\drivers\iksyssec.sys
2008-09-14 09:55 . 2008-08-25 11:36 66,952 --a------ C:\Windows\System32\drivers\iksysflt.sys
2008-09-14 09:55 . 2008-08-25 11:36 40,840 --a------ C:\Windows\System32\drivers\ikfilesec.sys
2008-09-14 09:55 . 2008-06-02 15:19 29,576 --a------ C:\Windows\System32\drivers\kcom.sys
2008-09-13 20:06 . 2008-09-13 20:07 <DIR> d-------- C:\Program Files\DivX
2008-09-09 15:14 . 2008-09-09 15:14 <DIR> d-------- C:\ProgramData\czuhgxch
2008-09-08 18:13 . 2008-09-08 18:13 <DIR> d-------- C:\Program Files\GnuWin32
2008-09-08 18:04 . 2008-09-08 17:47 229,275 --------- C:\targeteam.patch
2008-09-08 16:02 . <DIR> C:\Users\André\Targeteamplatz
2008-08-23 13:17 . 2008-08-23 13:17 <DIR> d--h----- C:\ProgramData\CanonBJ
2008-08-23 13:15 . 2007-05-21 22:00 215,040 --a------ C:\Windows\System32\CNMLM94.DLL
2008-08-23 10:33 . 2008-07-16 03:32 2,048 --a------ C:\Windows\System32\tzres.dll
2008-08-23 09:10 . 2008-06-19 05:31 361,984 --a------ C:\Windows\System32\IPSECSVC.DLL
2008-08-23 09:10 . 2008-04-18 07:48 269,312 --a------ C:\Windows\System32\es.dll
2008-08-23 09:09 . 2008-06-27 03:55 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-08-23 09:09 . 2008-06-27 06:15 827,392 --a------ C:\Windows\System32\wininet.dll
2008-08-23 09:08 . 2008-04-10 07:12 738,304 --a------ C:\Windows\System32\inetcomm.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 06:39 45,056 ----a-w C:\Windows\System32\acovcnt.exe
2008-09-21 19:03 --------- d-----w C:\Users\Nicole\AppData\Roaming\Skype
2008-09-21 18:16 --------- d-----w C:\Users\Nicole\AppData\Roaming\skypePM
2008-09-21 17:39 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-09-21 08:57 --------- d-----w C:\ProgramData\Google Updater
2008-09-14 07:41 --------- d-----w C:\ProgramData\P4G
2008-09-14 07:41 --------- d-----w C:\Program Files\Windows Mail
2008-09-13 19:15 --------- d-----w C:\Users\André\AppData\Roaming\Real
2008-09-06 21:17 --------- d-----w C:\Program Files\World of Warcraft
2008-09-06 12:04 --------- d-----w C:\Program Files\Common Files\Blizzard Entertainment
2008-09-03 16:19 --------- d-----w C:\Users\André\AppData\Roaming\Mozilla
2008-08-24 18:11 --------- d-----w C:\Users\Nicole\AppData\Roaming\COREL
2008-08-23 08:29 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-08-04 20:14 --------- d-----w C:\Program Files\Teamspeak2_RC2
2008-08-04 19:37 --------- d-----w C:\Program Files\Java
2008-08-04 16:31 --------- d-----w C:\ProgramData\Microsoft Help
2008-07-31 03:32 460,288 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-31 03:32 2,154,496 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-31 03:32 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-07-27 18:54 --------- d-----w C:\Users\André\AppData\Roaming\gtk-2.0
2008-07-25 20:54 --------- d-----w C:\Program Files\Audacity
2008-07-21 10:22 48,640 ----a-w C:\Windows\System32\libfdnvin.dll
2008-06-26 03:29 801,280 ----a-w C:\Windows\System32\NaturalLanguage6.dll
2008-06-26 01:45 2,644,480 ----a-w C:\Windows\System32\NlsLexicons0009.dll
2008-06-26 01:45 12,240,896 ----a-w C:\Windows\System32\NlsLexicons0007.dll
2008-06-18 07:01 174 --sha-w C:\Program Files\desktop.ini
2008-04-22 19:50 32 ----a-w C:\ProgramData\ezsid.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 03:08 143360 --a------ C:\Program Files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-22 68856]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe" [2007-01-09 68640]
"LanguageShortcut"="C:\Program Files\ASUSTek\ASUSDVD\Language\Language.exe" [2007-01-09 52256]
"ATKOSD2"="C:\Program Files\ATKOSD2\ATKOSD2.exe" [2007-10-18 7737344]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-01 857648]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-03-27 185896]
"Adobe Reader Speed Launcher"="C:\Programe\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="C:\Program Files\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"QuickFinder Scheduler"="C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 83568]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 90112]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2008-02-11 133656]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"RtHDVCpl"="RtHDVCpl.exe" [2007-10-31 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-10-11 C:\Windows\SkyTel.exe]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 C:\Windows\sm56hlpr.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2008-04-22 124400]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]
@="IEEE 1394 Bus host controllers"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]
@="SBP2 IEEE 1394 Devices"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]
@="SecurityDevices"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001
|
|
| Themen zu Ist der Trojaner noch da? |
| abgesicherten modus, adobe, antivir, asus, avira, bho, defender, excel, explorer, firefox, google, gservice, hkus\s-1-5-18, internet, internet explorer, internet security, malware, mozilla, object, pdf, picasa, rundll, security, software, spyware, symantec, system, trojaner, trojaner-board, vista, windows, windows defender, windows sidebar |
