| |
| |||||||
Log-Analyse und Auswertung: Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.01.2009, 16:54
| #1 |
| |  Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? Hallo. Vorweg: Ich benutze Windows XP (SP2), Firefox 3.0.5 und AntiVir. Ich habe mir einen Trojaner gefangen, indem ich eine fragwürdige .exe-Datei aus dem Netz gezogen habe und darauf gesetzt habe, dass AntiVir die Datei nichts machen lässt, wenn sie etwas versuchen sollte, das ich nicht will. Leider war das eine Fehlentscheidung. Zwar habe ich eine Meldung von AntiVir erhalten, dass die Datei den Trojaner BDS/Prorat.crh enthält, aber direkt nachdem sie vollständig geladen war, ist die Datei verschwunden. In der Quarantäne von AntiVir ist nichts und im Zielordner ebenfalls nicht. Die Logfileauswertung von HijackThis blieb ergebnislos: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 16:10:15, on 09.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Imgtask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sinus 154 stick\Wifiusb.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\HijackThis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ImgTask] C:\WINDOWS\Imgtask.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = ? O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O15 - Trusted Zone: *.rapidshare.com O15 - Trusted Zone: *.rapidshare.de O15 - Trusted Zone: *.utorrent.com O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Anschließend habe ich also im Abgesicherten Modus eScan über mein System laufen lassen, das "Midnight Oil Spyware/Adware" gefunden hat: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal
eScan Version: 10.0.60
Sprache: German
C:\DOKUME~1\MeinUserName\LOKALE~1\Temp\MWAV.LOG
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041206.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041247.exe markiert als "not-a-virus:AdWare.Win32.Gator.3202". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
Objekt "Midnight Oil Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\Midnight Oil !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
explorer.exe - C:\WINDOWS\Explorer.EXE
mexe.com - "C:\DOKUME~1\MeinUserName\LOKALE~1\Temp\mexe.com"
ScanningProcess.exe -
cmd.exe - cmd /c ""D:\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe in HKLM\SYSTEM\CurrentControlSet\Services\aspnet_state. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\E:\INSTALL\GMSIPCI.SYS in HKLM\SYSTEM\CurrentControlSet\Services\GMSIPCI. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.2.0.240\QuickTime.msi
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad.zip: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad.zip
Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad1.zip: Scanning Failure!!!
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad1.zip
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
ERROR(3)!!! ScanFile fails for C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCVBA10.CHM
ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_02\lib\rt.jar
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\ACMAIN10.CHM
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAAC10.CHM
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAWD10.CHM
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAXL10.CHM
ERROR(3)!!! ScanFile fails for C:\Programme\MSECache\PPTViewer\ppviewer.cab
ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\embxnfj7.zip
ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\h75rv575.zip
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\driver.cab
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\sp2.cab
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\sp2.cab
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\dllcache\tourW.exe
ERROR(3)!!! ScanFile fails for D:\mwav.exe
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041244.exe
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041245.exe
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041246.exe
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{B5161474-1564-4673-97F0-17BD929FAE40}\RP468\A0313156.exe
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{B5161474-1564-4673-97F0-17BD929FAE40}\RP485\A0324107.exe
ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{D2E1E55E-1F90-4528-9D4A-481314B341FD}\RP158\A0033239.exe
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 465191
Zahl der kritischen Objekte: 11
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 05:25:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Die Überprüfung der Ordner: Deaktiviert
Batchstart: 15:53:37,28
Batchende: 15:54:44,81
A) beide Schädlinge, B) ist beides der selbe Schädling oder C) hat AntiVir "BDS/Prorat.crh" nebenbei entfernt und ich habe "Midnight Oil Spyware/Adware" nur zufällig entdeckt? Seit der Fehlermeldung habe ich mich außer auf meinem PC und diesem Forum nirgendwo mehr eingeloggt. Das System neu aufzusetzen möchte ich erst als letzte aller Möglichkeiten in betracht ziehen... Wie gehe ich jetzt weiter vor? Vielen Dank im Vorraus. |
|
10.01.2009, 08:31
| #2 |
| | Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? Anmerkung zum ersten Post: Ich habe die oben beschriebene fragwürdige .exe-Datei weder ausgeführt, noch markiert, noch ein MouseOver gemacht. Sie war da. Ich bekam eine Warnung über eine Bedrohung und babe den Zugriff verweigert. Als ich das Fenster mit der Warnung mit "Zugriff verweigern" beantwortet hatte und den Blick wieder dem Ordnerinhalt zuwendete war die Datei nicht mehr da.
__________________Direkt danach habe ich den Cache meines Browsers geleert und einen ergebnislos mit AntiVir die Aktiven Prozesse und nach Rootkits gescannt. Inzwischen habe ich einen Guide zum Entfernen von Midnight Oil gefunden, konnte aber weder einen der genannten Registry-Einträge noch eine der Dateien finden. In der Registry konnte ich einen einzigen Schlüssel mit Namen "Midnight Oil" finden und habe ihn gelöscht - allerdings kam der nicht in oben genanntem Guide vor. Wegen mehrerer Hinweise vom scan mit eScan, ich hätte verwaiste habe ich den Registry Cleaner von TuneUp Utilities durchlaufen lassen. Dabei hatte ich die Hoffnung, daß es sich bei der Ursache für die Midnight Oil-Meldung, nur um einen verwaisten Registry-Eintrag gehandelt hat. Ein erneutes scannen mit eScan brachte keinen Fund von Midnight Oil mehr. Ich weis, daß das nicht beim eigentlichen Problem hilft: Die Datei, die offenbar BDS/Prorat.crh beinhaltet hat und gleich nach dem Download verschwunden ist. Wurde sie jetzt von AntiVir ohne viel Federlesen und ohne Meldung an mich gelöscht, oder hat sich der Trojaner irgendwie gleich nach der Ankunft auf meinem System eingenistet? Inzwischen wären mir auch Spekulationen recht. Vielen Dank |
|
11.01.2009, 09:09
| #3 |
| | Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? Inzwischen habe ich auch noch Malwarebytes' Anti-Malware, CCleaner, Dr. Web und SUPERAntiSpyware Professional ausprobiert. Leider ist der Trojaner (falls tatsächlich noch vorhanden) von keinem entdeckt worden.
__________________Inzwischen habe ich noch einen Durchlauf mit RunScanner gemacht. Hier das log: Code:
ATTFilter Runscanner logfile http://www.runscanner.net
* = signed file
- = file not found
General info
------------
Computer name : ***
Creation time : 11.01.2009 09:03:45
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 6.0.2900.2180
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.7.0.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS
Running processes
-----------------
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
* C:\WINDOWS\system32\services.exe (Microsoft Corporation)
* C:\WINDOWS\System32\alg.exe (Microsoft Corporation)
* C:\WINDOWS\system32\csrss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
* C:\WINDOWS\system32\RUNDLL32.EXE (Microsoft Corporation)
* C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
C:\WINDOWS\Imgtask.exe
* C:\WINDOWS\system32\lsass.exe (Microsoft Corporation)
* C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
* C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
* D:\runscanner\RunScanner.exe (Runscanner.net)
* C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation)
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
* C:\WINDOWS\System32\TUProgSt.exe (TuneUp Software)
* C:\WINDOWS\Explorer.EXE (Microsoft Corporation)
* C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\System32\smss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\wdfmgr.exe (Microsoft Corporation)
C:\Programme\Sinus 154 stick\Wifiusb.exe (TECOM)
* C:\WINDOWS\System32\wbem\wmiprvse.exe (Microsoft Corporation)
Unrated items
-------------
002 D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
002 C:\WINDOWS\Imgtask.exe
002 C:\WINDOWS\system32\nwiz.exe
003 D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
005 C:\WINDOWS\Installer\{9D079233-177B-4BEE-A1F7-8568AD3E41D1}\NewShortcut2.exe
010 D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira AntiVir Personal - Free Antivirus Guard)
010 D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira AntiVir Personal - Free Antivirus Planer)
010 * C:\WINDOWS\System32\TuneUpDefragService.exe (TuneUp Drive Defrag-Dienst)
010 * C:\WINDOWS\System32\TUProgSt.exe (TuneUp Program Statistics Service)
011 C:\WINDOWS\system32\DRIVERS\mdc8021x.sys (AEGIS Protocol (IEEE 802.1x) v2.3.1.9)
011 * D:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (avgio)
011 * D:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (avgntflt)
011 * C:\WINDOWS\system32\DRIVERS\avipbb.sys (avipbb)
011 * C:\Programme\MediaCoder\SysInfo.sys (CrystalSysInfo)
011 * C:\WINDOWS\System32\Drivers\ElbyCDFL.sys (ElbyCDFL)
011 C:\WINDOWS\system32\DRIVERS\fasttrak.sys (fasttrak)
011 C:\WINDOWS\system32\PCANDIS5.SYS (PCANDIS5 NDIS Protocol Driver)
011 D:\Programme\SUPERAntiSpyware\SASDIFSV.SYS (SASDIFSV)
011 D:\Programme\SUPERAntiSpyware\SASENUM.SYS (SASENUM)
011 D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL)
011 C:\WINDOWS\system32\DRIVERS\PRISMA02.sys (Sinus 154 stick)
011 C:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv)
011 C:\WINDOWS\System32\Drivers\DgiVecp.sys (Team MFP Comm Driver)
031 C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
031 C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D}
031 C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}
035 C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}
047 Zone: microsoft.com : *.microsoft.com
047 Zone: rapidshare.com : *.rapidshare.com
047 Zone: rapidshare.de : *.rapidshare.de
047 Zone: utorrent.com : *.utorrent.com
050 D:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}
061 C:\WINDOWS\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D}
061 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47}
061 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
061 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
061 * C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll (TuneUp Software) {4838CD50-7E5D-4811-9B17-C47A85539F28}
061 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
061 * C:\WINDOWS\System32\uxtuneup.dll (TuneUp Software) {44440D00-FF19-4AFC-B765-9A0970567D97}
061 C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL (Microsoft Corporation) {BDEADF00-C265-11D0-BCED-00A0C90AB50F}
061 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
067 D:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
102 GUID / CLSID not found {32683183-48a0-441b-a342-7c2a440a9478}
104 GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
105 Download with GetRight : C:\Programme\GetRight\GRdownload.htm
105 Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
105 Open with GetRight Browser : C:\Programme\GetRight\GRbrowse.htm
173 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
173 D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
173 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
173 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
221 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
221 D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
221 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
221 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
225 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
225 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
227 D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu
227 * C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll (TuneUp Software) {4838CD50-7E5D-4811-9B17-C47A85539F28}
227 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
227 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
229 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
Missing files
-------------
010 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
011 C:\WINDOWS\system32\drivers\Abiosdsk.sys
011 C:\WINDOWS\system32\drivers\abp480n5.sys
011 C:\WINDOWS\system32\drivers\adpu160m.sys
011 C:\WINDOWS\system32\drivers\Aha154x.sys
011 C:\WINDOWS\system32\drivers\aic78u2.sys
011 C:\WINDOWS\system32\drivers\aic78xx.sys
011 C:\WINDOWS\system32\drivers\AliIde.sys
011 C:\WINDOWS\system32\drivers\amsint.sys
011 C:\WINDOWS\system32\drivers\asc.sys
011 C:\WINDOWS\system32\drivers\asc3350p.sys
011 C:\WINDOWS\system32\drivers\asc3550.sys
011 C:\WINDOWS\system32\drivers\Atdisk.sys
011 C:\WINDOWS\system32\drivers\cd20xrnt.sys
011 C:\WINDOWS\system32\drivers\Changer.sys
011 C:\WINDOWS\system32\drivers\CmdIde.sys
011 C:\WINDOWS\system32\drivers\Cpqarray.sys
011 C:\WINDOWS\system32\drivers\dac2w2k.sys
011 C:\WINDOWS\system32\drivers\dac960nt.sys
011 C:\WINDOWS\system32\drivers\dpti2o.sys
011 E:\INSTALL\GMSIPCI.SYS
011 C:\WINDOWS\system32\drivers\hpn.sys
011 C:\WINDOWS\system32\drivers\hpt3xx.sys
011 C:\WINDOWS\system32\drivers\i2omgmt.sys
011 C:\WINDOWS\system32\drivers\i2omp.sys
011 C:\WINDOWS\system32\drivers\ini910u.sys
011 C:\WINDOWS\system32\drivers\IntelIde.sys
011 C:\WINDOWS\system32\drivers\lbrtfdc.sys
011 C:\WINDOWS\system32\drivers\mraid35x.sys
011 C:\WINDOWS\system32\drivers\PCIDump.sys
011 C:\WINDOWS\system32\drivers\PDCOMP.sys
011 C:\WINDOWS\system32\drivers\PDFRAME.sys
011 C:\WINDOWS\system32\drivers\PDRELI.sys
011 C:\WINDOWS\system32\drivers\PDRFRAME.sys
011 C:\WINDOWS\system32\drivers\perc2.sys
011 C:\WINDOWS\system32\drivers\perc2hib.sys
011 C:\WINDOWS\system32\drivers\ql1080.sys
011 C:\WINDOWS\system32\drivers\Ql10wnt.sys
011 C:\WINDOWS\system32\drivers\ql12160.sys
011 C:\WINDOWS\system32\drivers\ql1240.sys
011 C:\WINDOWS\system32\drivers\ql1280.sys
011 C:\WINDOWS\system32\drivers\Simbad.sys
011 C:\WINDOWS\system32\drivers\Sparrow.sys
011 C:\WINDOWS\system32\drivers\sym_hi.sys
011 C:\WINDOWS\system32\drivers\sym_u3.sys
011 C:\WINDOWS\system32\drivers\symc810.sys
011 C:\WINDOWS\system32\drivers\symc8xx.sys
011 C:\WINDOWS\system32\drivers\TosIde.sys
011 C:\WINDOWS\system32\drivers\ultra.sys
011 C:\WINDOWS\system32\drivers\ViaIde.sys
011 C:\WINDOWS\system32\drivers\WDICA.sys
061 deskpan.dll
|
|
12.01.2009, 10:24
| #4 |
| | Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? Zuerst einmal Danke an alle, die jetzt noch in diesen Thread reinschauen. Mit Hilfe des Test-Programms Trojan Simulator konnte ich ähnliche Bedingungen nachstellen: Bei der Option "Zugriff verweigern" löscht AntiVir die verdächtige Datei sofort vom System. |
|
| Themen zu Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? |
| abgesicherten modus, antivirus, avira, bho, browser, components, computer, dateisystem, einstellungen, excel, fehlalarm, fehler, fehlermeldung, firefox, hijack, hijackthis, internet, internet explorer, maßnahme, prozesse, registrierungsdatenbank, rundll, security, software, stick, system, system neu, trojaner, windows, windows xp, wlan |
Linear-Darstellung
