| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan-Dropper.SEH + PopupWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.02.2009, 23:34
| #1 |
 |  Trojan-Dropper.SEH + Popup Hallo Forum! Ich bin neu hier, mein Problem aber wahrscheinlich nicht. Ich versuche jetzt schon seit 4 Tagen einen lästigen Zeitgenossen loszuwerden. Ich habe schon jede Menge gegoogelt und noch mehr ausprobiert., In diesem Forum gab es schon einen thread dazu. Die Vorschläge habe ich auch alle durchprobiert. Malwarebytes Antimalware -> kein Fund Kaspersky -> kein Fund (mehr dazu später) Antivir -> kein Fund PC-Doctor -> findet und löscht in der reg den Trojan Dropper.SEH Navilog habe ich auch durchlaufen lassen, das hat auch keinen Erfolg gebracht. Das Problem: Den Trojan-Dropper.SEH kann der PC-Doctor (Vollversion) finden und auch löschen, nach einem Neustart ist er aber wieder da. Ich vermutre einen Service dafür in System32 (wird leider vor Kaspersky gestartet) Beim Internet Explorer wird beim anklicken von links bei google und auch anderen Seiten ein Popup mit Jamba Werbung oder auch andere geöffnet. (Popups sind eigentlich auf "hoch" geblockt. Ebenso bei Kaspersky. Heute und gestern wurde noch ein Virus in C:/System Volume Information gefunden. Konnte wegen Zugriffmangel nicht von Kaspersky gelöscht werden hats aber 3 mal pro Sekunde versucht. (Das macht den Rechner lahm  )Hab dann die entsprechenden Dateien selbst gelöscht. Hier kommen jetzt ein paar logs. Mein Problem ist, das ich zwar mit dem Rechner umgehen kann, aber keine Ahnung habe welche von den laufenden Dateien verdächtig sind. Und wo das Problem zu suchen ist. Mies finde ich, dass Kaspersky und Antivir (habe ich installiert, weil ich dachte das Kaspersky vom Virus kompromitiert wurde) nicht finden. Meldung vom PC-Doctor in Reg Code:
ATTFilter HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn
HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#cnid
HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#did
HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#gid
Geändert von Marfi (16.02.2009 um 23:49 Uhr) |
|
16.02.2009, 23:35
| #2 |
| | Trojan-Dropper.SEH + PopupCode:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:42:53, on 16.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\LevelOne\Common\RaUI.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [regrcg] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" regrcg O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234649902718 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1233775754_2291a953f8ce169efbfc1d44eb317d4d&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Net Burner iSCSI Service (NetBurnerService) - Paragon GmbH - C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 8119 bytes |
|
16.02.2009, 23:36
| #3 |
| | Trojan-Dropper.SEH + PopupCode:
ATTFilter info.txt logfile of random's system information tool 1.05 2009-02-13 19:53:47
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.1-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81100000003}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AVRStudio4-->C:\Programme\InstallShield Installation Information\{D5D88F8F-FDA4-4CF4-9F3E-3F40118C2120}\setup.exe -runfromtemp -l0x0009 -removeonly
Canon iP3300 Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP3300\UNINST.EXE
Canon iP3300-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300 /L0x0007
Canon PhotoRecord-->MsiExec.exe /X{BBBC2B89-E193-4348-A83C-C8DD8210A4AC}
Canon Setup Utility 2.3-->"C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.3\uninst.ini
Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities Easy-PrintToolBox-->C:\WINDOWS\BJPSUNST.EXE
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
eMule-->"C:\Programme\eMule\Uninstall.exe"
EPSON Scan-->C:\Programme\epson\escndv\setup\setup.exe /r
Favorit-->"c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" -uninstall
GetDataBack for NTFS-->"C:\Programme\Runtime Software\GetDataBack for NTFS\Uninstall.exe" "C:\Programme\Runtime Software\GetDataBack for NTFS\install.log" -u
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
IsoBuster 2.2-->"C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
LevelOne WNC-0301USB Wireless Adapter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E91E8912-769D-42F0-8408-0E329443BABC}\setup.exe" -l0x9 -removeonly
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional-->MsiExec.exe /I{91110407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
O&O DiskRecovery-->MsiExec.exe /X{53480880-18E0-4097-A460-F22DD3AC6D70}
Paragon Drive Backup™ 9 Professional-->MsiExec.exe /I{485DF5E7-8379-4BFA-BAE1-9B8DBFE0D6B4}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Spyware Doctor 6.0-->C:\Programme\Spyware Doctor\unins000.exe /LOG
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VIA Plattform-Geräte-Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
WISO Sparbuch 2009-->C:\Programme\InstallShield Installation Information\{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}\Setup.exe -runfromtemp -l0x0007 -removeonly
=====HijackThis Backups=====
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
======Security center information======
AV: Avira AntiVir PersonalEdition
AV: Kaspersky Internet Security
FW: Kaspersky Internet Security
System event log
Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
Record Number: 752
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User:
Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
Record Number: 751
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User:
Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
Record Number: 750
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User:
Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
Record Number: 749
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User:
Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
Record Number: 748
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User:
Application event log
Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst ContentIndex (ContentIndex) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
Record Number: 5
Source Name: LoadPerf
Time Written: 20090201223013.000000+060
Event Type: Informationen
User:
Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
Record Number: 4
Source Name: LoadPerf
Time Written: 20090201223012.000000+060
Event Type: Informationen
User:
Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
Record Number: 3
Source Name: LoadPerf
Time Written: 20090201222840.000000+060
Event Type: Informationen
User:
Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
Record Number: 2
Source Name: LoadPerf
Time Written: 20090201222838.000000+060
Event Type: Informationen
User:
Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
Record Number: 1
Source Name: LoadPerf
Time Written: 20090201222837.000000+060
Event Type: Informationen
User:
Security event log
Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.
Name des Authentifizierungspakets: C:\WINDOWS\system32\msv1_0.dll : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Record Number: 329
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM
Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.
Name des Authentifizierungspakets: C:\WINDOWS\system32\wdigest.dll : WDigest
Record Number: 328
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM
Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.
Name des Authentifizierungspakets: C:\WINDOWS\system32\schannel.dll : Schannel
Record Number: 327
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM
Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.
Name des Authentifizierungspakets: C:\WINDOWS\system32\schannel.dll : Microsoft Unified Security Protocol Provider
Record Number: 326
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM
Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.
Name des Authentifizierungspakets: C:\WINDOWS\system32\msv1_0.dll : NTLM
Record Number: 325
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
|
|
16.02.2009, 23:38
| #4 |
| | Trojan-Dropper.SEH + Popup Uninstall List Code:
ATTFilter Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.1
Avira AntiVir Personal - Free Antivirus
AVRStudio4
Canon iP3300
Canon iP3300 Benutzerregistrierung
Canon PhotoRecord
Canon Setup Utility 2.3
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
CCleaner (remove only)
Easy-WebPrint
EPSON Scan
Favorit
GetDataBack for NTFS
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix für Windows XP (KB952287)
IsoBuster 2.2
Java(TM) 6 Update 11
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
Kaspersky Online Scanner
LevelOne WNC-0301USB Wireless Adapter
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Professional
Microsoft Visual C++ 2005 Redistributable
MSXML 4.0 SP2 (KB954430)
Navilog1 3.7.3
neroxml
NVIDIA Drivers
O&O DiskRecovery
Paragon Drive Backup™ 9 Professional
PDFCreator
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Spyware Doctor 6.0
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
VCRedistSetup
VIA Plattform-Geräte-Manager
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Windows Media Format Runtime
Windows XP Service Pack 3
WinRAR
WISO Sparbuch 2008
WISO Sparbuch 2009
XML Paper Specification Shared Components Language Pack 1.0
|
|
16.02.2009, 23:39
| #5 |
| | Trojan-Dropper.SEH + Popup RSIT-log Teil 1 Code:
ATTFilter Logfile of random's system information tool 1.05 (written by random/random) Run by *** at 2009-02-16 12:44:46 Microsoft Windows XP *** Edition Service Pack 3 System drive C: has 497 GB (81%) free of 610 GB Total RAM: 3197 MB (75% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:44:51, on 16.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\LevelOne\Common\RaUI.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [regrcg] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" regrcg O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234649902718 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1233775754_2291a953f8ce169efbfc1d44eb317d4d&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Net Burner iSCSI Service (NetBurnerService) - Paragon GmbH - C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 8167 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2009-02-02 62728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}] EWPBrowseObject Class - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll [2006-04-18 34304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-02-05 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-02-05 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-02-05 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NVRaidService"=C:\WINDOWS\system32\nvraidservice.exe [2007-11-30 188448] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-11-28 8491008] "nwiz"=nwiz.exe /install [] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-10-10 39792] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2007-11-28 81920] "HDAudDeck"=C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe [2008-05-14 29831168] "AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-02-06 201992] "Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-02-05 136600] "avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497] "ISTray"=C:\Programme\Spyware Doctor\pctsTray.exe [2008-08-25 1168264] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "regrcg"=c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe [2009-02-02 278528] "MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232] "ccleaner"=C:\Programme\CCleaner\CCleaner.exe [2009-01-20 1451248] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart LevelOne Wireless Utility.lnk - C:\Programme\LevelOne\Common\RaUI.exe Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] C:\WINDOWS\system32\klogon.dll [2008-04-25 206088] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe:*:Enabled:Kaspersky Anti-Virus" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule" "C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Disabled:Java(TM) Platform SE binary" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fca5a5c3-f0a4-11dd-81b9-806d6172696f}] shell\AutoRun\command - E:\cdstart.exe |
|
16.02.2009, 23:41
| #6 |
| | Trojan-Dropper.SEH + Popup RSIT Log Teil 2 Code:
ATTFilter ======List of files/folders created in the last 1 months======
2009-02-15 21:59:55 ----D---- C:\Programme\Gemeinsame Dateien\Buhl Data Service
2009-02-15 18:45:52 ----D---- C:\WINDOWS\ERUNT
2009-02-15 18:41:47 ----D---- C:\SDFix
2009-02-15 06:33:52 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-02-15 06:33:52 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-02-15 00:26:20 ----N---- C:\WINDOWS\system32\spmsg2.dll
2009-02-15 00:26:19 ----HDC---- C:\WINDOWS\$NtUninstallXPSEPSCLP$
2009-02-15 00:22:03 ----D---- C:\WINDOWS\system32\XPSViewer
2009-02-15 00:22:00 ----D---- C:\Programme\MSBuild
2009-02-15 00:21:58 ----D---- C:\WINDOWS\system32\en-US
2009-02-15 00:21:52 ----D---- C:\Programme\Reference Assemblies
2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\xpssvcs.dll
2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\prntvpt.dll
2009-02-15 00:21:31 ----D---- C:\cc6f374efb8b018550a2e0ba61
2009-02-15 00:09:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2009-02-14 11:20:30 ----A---- C:\cleannavi.txt
2009-02-14 10:52:04 ----A---- C:\fixnavi.txt
2009-02-14 10:48:58 ----D---- C:\Programme\Navilog1
2009-02-14 10:44:13 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-02-14 10:38:53 ----D---- C:\WINDOWS\system32\Kaspersky Lab
2009-02-13 19:53:43 ----D---- C:\rsit
2009-02-11 16:44:19 ----A---- C:\CKINFO.TXT
2009-02-11 16:44:05 ----D---- C:\Programme\Stellar Phoenix Windows Data Recovery
2009-02-10 19:31:00 ----D---- C:\Programme\Lavasoft
2009-02-10 19:31:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-10 15:49:48 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-02-10 15:49:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-10 13:10:38 ----D---- C:\ARCEA Backup
2009-02-09 19:12:02 ----A---- C:\WINDOWS\system32\pdfcmnnt.dll
2009-02-09 19:12:01 ----D---- C:\Programme\PDFCreator
2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\VB6DE.DLL
2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSMPIDE.DLL
2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSCMCDE.DLL
2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSCC2DE.DLL
2009-02-09 19:06:54 ----A---- C:\WINDOWS\system32\regsvr32.exe.log
2009-02-09 18:16:20 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-09 18:16:09 ----D---- C:\Programme\Spyware Doctor
2009-02-09 18:16:09 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools
2009-02-09 18:04:49 ----D---- C:\Programme\CCleaner
2009-02-09 18:01:33 ----D---- C:\Programme\Trend Micro
2009-02-09 17:33:28 ----D---- C:\Programme\Smart Projects
2009-02-09 13:18:30 ----D---- C:\Programme\Avira
2009-02-09 13:18:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-02-09 12:58:21 ----A---- C:\WINDOWS\system32\BASSMOD.dll
2009-02-09 12:58:06 ----D---- C:\Temp
2009-02-08 19:49:41 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ashampoo
2009-02-08 19:47:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2009-02-08 17:55:05 ----A---- C:\WINDOWS\system32\MsiExec.exe.log
2009-02-08 17:52:54 ----D---- C:\WINDOWS\RegisteredPackages
2009-02-08 17:52:34 ----A---- C:\WINDOWS\system32\d3dx9_28.dll
2009-02-08 17:05:49 ----A---- C:\WINDOWS\Crypkey.ini
2009-02-08 17:05:46 ----RA---- C:\WINDOWS\Setup_ck.exe
2009-02-08 17:05:46 ----A---- C:\WINDOWS\system32\Crypserv.exe
2009-02-08 17:05:46 ----A---- C:\WINDOWS\Setup_ck.dll
2009-02-08 17:05:46 ----A---- C:\WINDOWS\Ckrfresh.exe
2009-02-08 17:05:46 ----A---- C:\WINDOWS\Ckconfig.exe
2009-02-08 17:05:42 ----D---- C:\Programme\Disk Doctors NTFS Data Recovery
2009-02-08 13:11:04 ----D---- C:\Programme\Areca
2009-02-08 11:53:19 ----D---- C:\Programme\MSXML 4.0
2009-02-07 18:34:25 ----A---- C:\WINDOWS\system32\wdapi811.dll
2009-02-07 18:34:24 ----N---- C:\WINDOWS\system32\msvcr70.dll
2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\wdapi920.dll
2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\vc6-re200l.dll
2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\RWUXThemeS.dll
2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\BCGCBPRO95580.dll
2009-02-07 18:34:16 ----D---- C:\Programme\Atmel
2009-02-07 17:57:09 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-02-07 17:56:09 ----D---- C:\Programme\Paragon Software
2009-02-06 20:36:26 ----A---- C:\WINDOWS\Irremote.ini
2009-02-06 20:04:10 ----A---- C:\WINDOWS\system32\d3dx9_30.dll
2009-02-06 19:42:13 ----A---- C:\WINDOWS\wiso.ini
2009-02-06 19:16:32 ----A---- C:\WINDOWS\system32\cdintf300.dll
2009-02-06 19:15:46 ----D---- C:\Programme\WISO
2009-02-06 19:08:52 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Buhl Data Service
2009-02-06 19:07:38 ----RSD---- C:\WINDOWS\assembly
2009-02-06 19:07:23 ----D---- C:\WINDOWS\Microsoft.NET
2009-02-06 19:05:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2009-02-05 20:28:24 ----D---- C:\WINDOWS\Sun
2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\javaws.exe
2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\javaw.exe
2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\java.exe
2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-02-05 20:28:10 ----D---- C:\Programme\Java
2009-02-05 20:27:25 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun
2009-02-03 20:04:26 ----D---- C:\Programme\OO Software
2009-02-03 19:31:25 ----D---- C:\Programme\Runtime Software
2009-02-03 04:40:38 ----A---- C:\WINDOWS\ODBC.INI
2009-02-03 04:39:56 ----D---- C:\Programme\Gemeinsame Dateien\Designer
2009-02-03 04:38:55 ----D---- C:\WINDOWS\ShellNew
2009-02-03 04:38:49 ----D---- C:\Programme\Microsoft Office
2009-02-02 21:24:29 ----D---- C:\WINDOWS\Minidump
2009-02-02 20:47:58 ----HD---- C:\WINDOWS\PIF
2009-02-02 20:46:38 ----D---- C:\Programme\eMule
2009-02-02 20:44:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Help
2009-02-02 20:41:07 ----D---- C:\WINDOWS\Prefetch
2009-02-02 20:27:02 ----D---- C:\WINDOWS\system32\de
2009-02-02 20:27:02 ----D---- C:\WINDOWS\system32\bits
2009-02-02 20:27:02 ----D---- C:\WINDOWS\l2schemas
2009-02-02 20:25:16 ----D---- C:\WINDOWS\ServicePackFiles
2009-02-02 20:22:13 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-02-02 20:20:51 ----D---- C:\WINDOWS\E***
2009-02-02 20:17:10 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia
2009-02-02 20:15:23 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR
2009-02-02 20:15:05 ----D---- C:\Programme\WinRAR
2009-02-02 19:54:46 ----D---- C:\WINDOWS\ie7updates
2009-02-02 19:54:33 ----D---- C:\WINDOWS\WBEM
2009-02-02 19:54:31 ----D---- C:\WINDOWS\system32\de-de
2009-02-02 19:54:15 ----HDC---- C:\WINDOWS\ie7
2009-02-02 19:54:08 ----HDC---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$
2009-02-02 19:53:58 ----HDC---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$
2009-02-02 19:53:47 ----A---- C:\WINDOWS\system32\xmllite.dll
2009-02-02 19:53:19 ----D---- C:\WINDOWS\network diagnostic
2009-02-02 19:50:17 ----A---- C:\WINDOWS\system32\MRT.exe
2009-02-02 19:18:59 ----D---- C:\Programme\Gemeinsame Dateien\CANON
2009-02-02 19:18:35 ----A---- C:\WINDOWS\BJPSUNST.EXE
2009-02-02 19:17:49 ----A---- C:\WINDOWS\IsUn0407.exe
2009-02-02 19:17:30 ----A---- C:\WINDOWS\OpPrintServer.INI
2009-02-02 19:16:12 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2009-02-02 19:16:07 ----A---- C:\WINDOWS\system32\CNMLM84.DLL
2009-02-02 19:16:04 ----HD---- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2009-02-02 19:16:00 ----HD---- C:\Programme\CanonBJ
2009-02-02 19:15:04 ----D---- C:\Programme\Canon
2009-02-02 19:13:58 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-02-02 19:13:58 ----D---- C:\WINDOWS\system32\PreInstall
2009-02-02 19:13:57 ----HD---- C:\WINDOWS\$hf_mig$
2009-02-02 19:13:38 ----D---- C:\Programme\epson
2009-02-02 19:13:37 ----A---- C:\WINDOWS\system32\eswia52.dll
2009-02-02 19:13:37 ----A---- C:\WINDOWS\system32\esint52.dll
2009-02-02 19:12:45 ----A---- C:\WINDOWS\CDE P34903590GD.ini
2009-02-02 19:07:50 ----A---- C:\WINDOWS\system32\wpa.bak
2009-02-02 19:06:44 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2009-02-02 19:01:38 ----A---- C:\WINDOWS\system32\Install7x.dll
2009-02-02 19:01:38 ----A---- C:\WINDOWS\system32\AegisI5.exe
2009-02-02 19:01:00 ----D---- C:\Programme\LevelOne
2009-02-02 18:50:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-02-02 18:45:48 ----D---- C:\Programme\Kaspersky Lab
2009-02-02 18:45:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-02 18:26:08 ----SHD---- C:\RECYCLER
2009-02-02 18:24:10 ----HD---- C:\Programme\InstallShield Installation Information
2009-02-02 18:23:39 ----A---- C:\WINDOWS\system32\ksuser.dll
2009-02-02 18:23:29 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-02-02 18:22:59 ----N---- C:\WINDOWS\system32\difxapi.dll
2009-02-02 18:22:59 ----D---- C:\Programme\VIA
2009-02-02 18:22:53 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-02-02 18:20:31 ----D---- C:\WINDOWS\NV17481752.TMP
2009-02-02 18:18:47 ----RA---- C:\WINDOWS\system32\fdco1.dll
2009-02-02 18:18:46 ----RA---- C:\WINDOWS\system32\nvconrm.dll
2009-02-02 18:18:46 ----RA---- C:\WINDOWS\system32\bdco1.dll
2009-02-02 18:18:46 ----A---- C:\WINDOWS\system32\nvunrm.exe
2009-02-02 18:12:33 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2009-02-02 18:11:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-02-02 18:11:52 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-02-02 18:11:52 ----D---- C:\Programme\Adobe
2009-02-02 18:05:59 ----D---- C:\WINDOWS\nview
2009-02-02 18:05:59 ----A---- C:\WINDOWS\system32\nvudisp.exe
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerzht.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerzhc.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServertr.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerth.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersv.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersl.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersk.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerru.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerptb.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerpt.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerpl.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerno.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServernl.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerko.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerja.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerit.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerhu.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerhe.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerfr.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerfi.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServeres.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerenu.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServereng.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerel.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerde.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerda.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServercs.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionzht.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionzhc.dll
|
|
16.02.2009, 23:42
| #7 |
| | Trojan-Dropper.SEH + Popup RSIT Log Teil 3 Code:
ATTFilter 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectiontr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionth.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsv.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsk.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionru.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionptb.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionpt.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionpl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionno.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionnl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionko.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionja.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionit.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionhu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionhe.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionfr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionfi.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectiones.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionenu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectioneng.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionel.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionde.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionda.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectioncs.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvsataconnection.exe
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardzht.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardzhc.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardtr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardth.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsv.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsk.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardru.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardptb.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardpt.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardpl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardno.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardnl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardko.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardja.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardit.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardhu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardhe.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardfr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardfi.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardes.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardenu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardeng.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardel.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardde.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardda.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardcs.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizard.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvzht.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvzhc.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvtr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvth.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsv.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsk.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvru.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvptb.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvpt.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvpl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvno.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvnl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvko.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvja.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvit.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvhu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvhe.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvfr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvfi.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSves.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvenu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSveng.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvel.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvde.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvda.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvcs.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvraidservice.exe
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidServer.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvexpbar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvcpluir.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvcplui.exe
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MSVCR71.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MSVCP71.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MFC71.dll
2009-02-02 18:04:59 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-02-02 18:04:57 ----RA---- C:\WINDOWS\system32\fdco1ins.dll
2009-02-02 18:04:56 ----RA---- C:\WINDOWS\system32\bdco1ins.dll
2009-02-02 18:04:55 ----RA---- C:\WINDOWS\system32\nvusmb.exe
2009-02-02 18:04:52 ----RA---- C:\WINDOWS\system32\NVUNINST.EXE
2009-02-02 18:04:49 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2009-02-02 18:04:29 ----A---- C:\WINDOWS\Ascd_log.ini
2009-02-02 18:03:56 ----A---- C:\WINDOWS\Ascd_tmp.ini
2009-02-01 23:11:00 ----SH---- C:\boot.ini
2009-02-01 23:06:32 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-02-01 23:06:32 ----RSD---- C:\WINDOWS\Fonts
2009-02-01 23:06:32 ----RD---- C:\WINDOWS\Web
2009-02-01 23:06:32 ----HD---- C:\WINDOWS\inf
2009-02-01 23:06:32 ----D---- C:\WINDOWS\WinSxS
2009-02-01 23:06:32 ----D---- C:\WINDOWS\twain_32
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Temp
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\wins
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\wbem
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\usmt
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\spool
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ShellExt
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\Setup
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ras
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\oobe
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\npp
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\mui
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\inetsrv
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\IME
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\icsxml
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ias
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\export
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\drivers
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\dhcp
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\config
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\3com_dmi
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\3076
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\2052
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1054
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1042
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1041
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1037
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1033
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1031
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1028
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1025
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system
2009-02-01 23:06:32 ----D---- C:\WINDOWS\security
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Resources
2009-02-01 23:06:32 ----D---- C:\WINDOWS\repair
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Provisioning
2009-02-01 23:06:32 ----D---- C:\WINDOWS\PeerNet
2009-02-01 23:06:32 ----D---- C:\WINDOWS\pchealth
2009-02-01 23:06:32 ----D---- C:\WINDOWS\OemDir
2009-02-01 23:06:32 ----D---- C:\WINDOWS\mui
2009-02-01 23:06:32 ----D---- C:\WINDOWS\msapps
2009-02-01 23:06:32 ----D---- C:\WINDOWS\msagent
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Media
2009-02-01 23:06:32 ----D---- C:\WINDOWS\java
2009-02-01 23:06:32 ----D---- C:\WINDOWS\ime
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Help
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Driver Cache
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Debug
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Cursors
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Connection Wizard
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Config
2009-02-01 23:06:32 ----D---- C:\WINDOWS\AppPatch
2009-02-01 23:06:32 ----D---- C:\WINDOWS\addins
2009-02-01 23:06:32 ----D---- C:\WINDOWS
2009-02-01 22:37:09 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Identities
2009-02-01 22:37:08 ----HD---- C:\Programme\Uninstall Information
2009-02-01 22:37:03 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2009-02-01 22:37:03 ----ASH---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\desktop.ini
2009-02-01 22:35:12 ----D---- C:\WINDOWS\SoftwareDistribution
2009-02-01 22:35:10 ----SD---- C:\WINDOWS\system32\Microsoft
2009-02-01 22:35:10 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-02-01 22:32:17 ----D---- C:\WINDOWS\system32\xircom
2009-02-01 22:32:17 ----D---- C:\Programme\xerox
2009-02-01 22:32:17 ----D---- C:\Programme\microsoft frontpage
2009-02-01 22:32:14 ----A---- C:\WINDOWS\control.ini
2009-02-01 22:32:14 ----A---- C:\AUTOEXEC.BAT
2009-02-01 22:32:08 ----A---- C:\WINDOWS\system32\mapi32.dll
2009-02-01 22:31:37 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-02-01 22:31:37 ----RD---- C:\WINDOWS\Offline Web Pages
2009-02-01 22:31:37 ----RAH---- C:\WINDOWS\system32\logonui.exe.manifest
2009-02-01 22:31:33 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest
2009-02-01 22:31:31 ----HD---- C:\Programme\WindowsUpdate
2009-02-01 22:31:30 ----D---- C:\Programme\Online-Dienste
2009-02-01 22:31:19 ----D---- C:\WINDOWS\system32\DirectX
2009-02-01 22:31:04 ----A---- C:\WINDOWS\system32\atrace.dll
2009-02-01 22:31:02 ----A---- C:\WINDOWS\system32\desktop.ini
2009-02-01 22:31:02 ----A---- C:\WINDOWS\desktop.ini
2009-02-01 22:30:57 ----A---- C:\WINDOWS\system32\nmevtmsg.dll
2009-02-01 22:30:56 ----D---- C:\Programme\Gemeinsame Dateien\Dienste
2009-02-01 22:30:56 ----A---- C:\WINDOWS\system32\acctres.dll
2009-02-01 22:30:53 ----SD---- C:\WINDOWS\Tasks
2009-02-01 22:30:53 ----D---- C:\Programme\Gemeinsame Dateien\MSSoap
2009-02-01 22:30:53 ----A---- C:\WINDOWS\system32\icfgnt5.dll
2009-02-01 22:30:50 ----D---- C:\WINDOWS\system32\Macromed
2009-02-01 22:30:50 ----D---- C:\WINDOWS\srchasst
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuweb.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wups.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wucltui.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauserv.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuaueng1.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuaueng.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauclt1.exe
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauclt.exe
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuapi.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\qmgrprxy.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\qmgr.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\bitsprx3.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\bitsprx2.dll
2009-02-01 22:30:44 ----D---- C:\Programme\Movie Maker
2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrslv.dll
2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrdm.dll
2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrcdlg.dll
2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\racpldlg.dll
2009-02-01 22:30:39 ----D---- C:\WINDOWS\system32\Restore
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srsvc.dll
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srrstr.dll
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srclient.dll
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\fltmc.exe
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\fltlib.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\nmmkcert.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\msconf.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\mnmsrvc.exe
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\mnmdd.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\isrdbg32.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\ils.dll
2009-02-01 22:30:36 ----D---- C:\Programme\NetMeeting
2009-02-01 22:30:36 ----A---- C:\WINDOWS\system32\msoert2.dll
2009-02-01 22:30:36 ----A---- C:\WINDOWS\system32\msoeacct.dll
2009-02-01 22:30:35 ----A---- C:\WINDOWS\system32\inetres.dll
2009-02-01 22:30:35 ----A---- C:\WINDOWS\system32\inetcomm.dll
2009-02-01 22:30:34 ----D---- C:\Programme\Outlook Express
2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\schedsvc.dll
2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\mstinit.exe
2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\mstask.dll
2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\isign32.dll
2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\inetcfg.dll
2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\icwphbk.dll
2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\icwdial.dll
2009-02-01 22:30:29 ----D---- C:\Programme\Internet Explorer
2009-02-01 22:30:29 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-02-01 22:30:26 ----D---- C:\Programme\ComPlus Applications
2009-02-01 22:30:26 ----A---- C:\WINDOWS\vbaddin.ini
2009-02-01 22:30:26 ----A---- C:\WINDOWS\vb.ini
2009-02-01 22:30:25 ----D---- C:\WINDOWS\Registration
2009-02-01 22:30:13 ----D---- C:\Programme\Online Services
2009-02-01 22:30:12 ----D---- C:\Programme\Windows Media Player
2009-02-01 22:30:11 ----D---- C:\Programme\Messenger
2009-02-01 22:30:08 ----D---- C:\Programme\MSN Gaming Zone
2009-02-01 22:30:08 ----A---- C:\WINDOWS\system32\write.exe
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\sndvol32.exe
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\hticons.dll
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avwav.dll
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avtapi.dll
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avmeter.dll
2009-02-01 22:29:59 ----A---- C:\WINDOWS\system32\winchat.exe
2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\getuname.dll
2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\charmap.exe
2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\calc.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\winmine.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\usrlogon.cmd
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tsshutdn.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tslabels.ini
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tskill.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tsdiscon.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tscon.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\sol.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\shadow.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\reset.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\mshearts.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\freecell.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\rwinsta.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\regini.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\rdpcfgex.dll
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\qwinsta.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\qappsrv.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\msg.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\msdtcprf.ini
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\logoff.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\cdmodem.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\stclient.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxlegih.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxex.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxdm.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\dcomcnfg.exe
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comsnap.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comrepl.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comaddin.dll
2009-02-01 22:29:47 ----A---- C:\WINDOWS\system32\wmimgmt.msc
2009-02-01 22:29:40 ----D---- C:\Programme\MSN
2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\sndrec32.exe
2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\mplay32.exe
2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\accwiz.exe
2009-02-01 22:29:39 ----D---- C:\Programme\Windows NT
2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\spider.exe
2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\mspaint.exe
2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\hypertrm.dll
2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\clipbrd.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\tscupgrd.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\tscfgwmi.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\termsrv.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\sessmgr.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\remotepg.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdshost.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdsaddin.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdchost.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\mstscax.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\mstsc.exe
2009-02-01 22:29:37 ----D---- C:\WINDOWS\system32\MsDtc
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpwsx.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpsnd.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpclip.exe
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\qprocess.exe
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\mtxoci.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtcuiu.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtctm.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtcprx.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\icaapi.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\cfgbkend.dll
2009-02-01 22:29:36 ----D---- C:\WINDOWS\system32\Com
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\xolehlp.dll
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\msdtclog.dll
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\msdtc.exe
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\colbact.dll
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\clbcatex.dll
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\catsrvps.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\comuid.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\comsvcs.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\clbcatq.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\catsrvut.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\catsrv.dll
2009-02-01 22:29:32 ----A---- C:\WINDOWS\system32\servdeps.dll
2009-02-01 22:29:32 ----A---- C:\WINDOWS\system32\mmfutil.dll
2009-02-01 22:29:31 ----A---- C:\WINDOWS\system32\licwmi.dll
2009-02-01 22:29:31 ----A---- C:\WINDOWS\system32\cmprops.dll
2009-02-01 22:28:18 ----A---- C:\WINDOWS\system32\h323log.txt
2009-02-01 22:14:04 ----A---- C:\WINDOWS\system32\hidserv.dll
2009-02-01 22:13:38 ----A---- C:\WINDOWS\system32\usbui.dll
2009-02-01 22:13:07 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-02-01 22:13:06 ----SHD---- C:\WINDOWS\Installer
2009-02-01 22:13:06 ----D---- C:\Programme\Gemeinsame Dateien\ODBC
2009-02-01 22:13:06 ----A---- C:\WINDOWS\ODBCINST.INI
2009-02-01 22:13:04 ----D---- C:\Programme\Gemeinsame Dateien\SpeechEngines
2009-02-01 22:13:03 ----RD---- C:\Programme
2009-02-01 22:13:03 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-02-01 22:13:03 ----AD---- C:\Programme\Gemeinsame Dateien
2009-02-01 22:13:02 ----RA---- C:\WINDOWS\system32\kbdazel.dll
2009-02-01 22:13:01 ----RA---- C:\WINDOWS\system32\kbdtuq.dll
2009-02-01 22:13:01 ----RA---- C:\WINDOWS\system32\kbdtuf.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdycc.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbduzb.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdur.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdtat.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdru1.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdru.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdmon.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdkyr.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdkaz.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdbu.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdblr.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdaze.dll
2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhept.dll
2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhela3.dll
2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhela2.dll
2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhe319.dll
2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdhe220.dll
2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdhe.dll
2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdgkl.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlv1.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlv.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlt1.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlt.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdest.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdycl.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdsl1.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdsl.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdro.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdpl1.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdpl.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdhu1.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdhu.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz2.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz1.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcr.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\KBDAL.DLL
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\spxcoins.dll
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\irclass.dll
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\EqnClass.Dll
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\dgsetup.dll
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\dgrpsetu.dll
2009-02-01 22:12:52 ----N---- C:\WINDOWS\system32\CONFIG.TMP
2009-02-01 22:12:52 ----A---- C:\WINDOWS\TASKMAN.EXE
2009-02-01 22:12:52 ----A---- C:\WINDOWS\system32\batt.dll
2009-02-01 22:12:51 ----A---- C:\WINDOWS\system32\storprop.dll
2009-02-01 22:12:51 ----A---- C:\WINDOWS\notepad.exe
|
|
16.02.2009, 23:43
| #8 |
| | Trojan-Dropper.SEH + Popup RSIT Log Teil 4 Code:
ATTFilter 2009-02-01 22:12:48 ----ASH---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
2009-02-01 22:12:45 ----RA---- C:\WINDOWS\SET8.tmp
2009-02-01 22:12:43 ----RA---- C:\WINDOWS\SET4.tmp
2009-02-01 22:12:42 ----RA---- C:\WINDOWS\SET3.tmp
2009-02-01 22:12:39 ----D---- C:\WINDOWS\system32\CatRoot2
2009-02-01 22:12:39 ----D---- C:\WINDOWS\system32\CatRoot
2009-02-01 22:12:33 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-02-01 22:12:16 ----SHD---- C:\System Volume Information
2009-02-01 22:12:16 ----D---- C:\Dokumente und Einstellungen
======List of files/folders modified in the last 1 months======
2009-02-16 12:22:03 ----A---- C:\WINDOWS\system.ini
2009-02-15 09:19:27 ----A---- C:\WINDOWS\win.ini
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072]
R1 IKSysFlt;System Filter Driver; C:\WINDOWS\system32\drivers\iksysflt.sys [2008-08-25 66952]
R1 IKSysSec;System Security Driver; C:\WINDOWS\system32\drivers\iksyssec.sys [2008-08-25 81288]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 klif;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-02-06 213520]
R1 NetBurn;Paragon NetBurning Driver; C:\WINDOWS\system32\DRIVERS\NetBurn.sys [2008-06-28 84752]
R1 NetworkX;NetworkX; C:\WINDOWS\system32\ckldrv.sys [2006-01-10 31846]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 Uim_IM;UIM Drive Backup Image Plugin; C:\WINDOWS\System32\Drivers\Uim_IM.sys [2008-06-28 130688]
R1 UimBus;Universal Image Mounter Controller; C:\WINDOWS\system32\DRIVERS\UimBus.sys [2008-06-28 33072]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.3.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-02-02 20747]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592]
R3 monfilt;monfilt; C:\WINDOWS\system32\drivers\monfilt.sys [2008-02-14 1389056]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-12 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-11-28 6866912]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2007-11-17 22016]
R3 RT73;LevelOne WNC-0301USB Wireless Adapter Driver; C:\WINDOWS\system32\DRIVERS\rt73.sys [2005-11-03 245504]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service; C:\WINDOWS\system32\drivers\viahduaa.sys [2008-05-08 238080]
R3 WinDriver6;WinDriver6; C:\WINDOWS\system32\drivers\windrvr6.sys [2008-02-19 191424]
S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2007-11-17 54016]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 avp;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-02-06 201992]
R2 Crypkey License;Crypkey License; C:\WINDOWS\system32\crypserv.exe [2006-03-01 69632]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-02-05 152984]
R2 NetBurnerService;Net Burner iSCSI Service; C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe [2008-06-28 223248]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-11-28 155716]
R2 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2008-06-13 356920]
R2 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2008-10-09 1079176]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe []
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
-----------------EOF-----------------
|
|
16.02.2009, 23:59
| #9 |
| Gast | Trojan-Dropper.SEH + Popup Hallo Marfi, Du musst die Wiederherstellungspunkte von Windows löschen, in denen ist der Virus gespeichert, was natürlich blöd ist. Also: Rechtsklick Arbeitsplatz -> Eigenschaften -> Register Wiederherstellung -> automatische Wiederherstellung deaktivieren -> ok Kannst Du nachdem die Dateien gelöscht wurden wieder aktivieren. - lass die Virenprogramme nochmal laufen (Kaspersky und Malwarebytes) - C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe unter VirusTotal - Kostenloser online Viren- und Malwarescanner prüfen lassen, wenn Sie nichts finden, dann (sonst nochmal melden): - CCleaner laufen lassen - HijackThis laufen lassen (und Logfile posten) anschließend noch ein bischen aufräumen (deinstallieren): - Adobe Reader 8.1.1 (neue Version 9 laden) - Java(TM) 6 Update 11 (Java 6 Update 12 laden) - Microsoft .NET Framework 2.0 Service Pack 2 (Neue Version schon vorhanden) - Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU (Neue Version schon vorhanden) - Microsoft .NET Framework 3.0 Service Pack 2 (Neue Version schon vorhanden) - Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU (Neue Version schon vorhanden) - WISO Sparbuch 2008 (2009 vorhanden) AnitVirenprogramme (such Dir eins aus, der Rest fliegt weg!): - Malwarebytes' Anti-Malware - Navilog1 3.7.3 - Kaspersky Internet Security 2009 - Spyware Doctor 6.0 - Antivir brauchst auch nicht auf dem System (bei Bedarf neu installieren) - HijackThis 2.0.2 - CCleaner Grüße 45cl3p1u5 Geändert von 45cl3p1u5 (17.02.2009 um 00:11 Uhr) |
|
18.02.2009, 10:26
| #10 |
| | Trojan-Dropper.SEH + Popup Hallo 45cl3p1u5, soweit wie Du mir es gesagt hast, habe ich es durchgeführt. Als ich die regrcg.exe untersuchen wollte, habe ich sie nicht mehr gefunden. stattdessen fiel mir diese hier auf. Code:
ATTFilter C:\Dokumente und Einstellungen\***\LokaleEinstellungen\Anwendungsdaten\wqymsei.exe
VirusTotal hat da auch was gefunden Ich melde mich nochmal, ob das Problem jetzt gelößt ist. Code:
ATTFilter Datei wqymsei.exe empfangen 2009.02.18 10:17:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/39 (10.26%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 58 und 83 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.18 -
AhnLab-V3 2009.2.17.2 2009.02.18 -
AntiVir 7.9.0.83 2009.02.18 -
Authentium 5.1.0.4 2009.02.18 -
Avast 4.8.1335.0 2009.02.17 -
AVG 8.0.0.237 2009.02.17 -
BitDefender 7.2 2009.02.18 -
CAT-QuickHeal 10.00 2009.02.18 -
ClamAV 0.94.1 2009.02.18 -
Comodo 982 2009.02.17 -
DrWeb 4.44.0.09170 2009.02.18 -
eSafe 7.0.17.0 2009.02.17 -
eTrust-Vet 31.6.6363 2009.02.18 -
F-Prot 4.4.4.56 2009.02.17 -
F-Secure 8.0.14470.0 2009.02.18 -
Fortinet 3.117.0.0 2009.02.18 -
GData 19 2009.02.18 -
Ikarus T3.1.1.45.0 2009.02.18 -
K7AntiVirus 7.10.582 2009.01.09 -
Kaspersky 7.0.0.125 2009.02.18 -
McAfee 5529 2009.02.17 -
McAfee+Artemis 5529 2009.02.17 -
Microsoft 1.4306 2009.02.18 -
NOD32 3863 2009.02.18 -
Norman 6.00.06 2009.02.17 Banker.EFTK
nProtect 2009.1.8.0 2009.02.18 -
Panda 9.4.3.20 2009.02.17 -
PCTools 4.4.2.0 2009.02.17 -
Prevx1 V2 2009.02.18 Malicious Software
Rising 21.17.21.00 2009.02.18 -
SecureWeb-Gateway 6.7.6 2009.02.18 Ad-Spyware.LooksLike.NaviP263168
Sophos 4.38.0 2009.02.18 -
Sunbelt 3.2.1855.2 2009.02.17 Trojan-Spy.Win32.Ardamax.F (vf)
Symantec 10 2009.02.18 -
TheHacker 6.3.2.2.259 2009.02.18 -
TrendMicro 8.700.0.1004 2009.02.18 -
VBA32 3.12.8.13 2009.02.18 -
ViRobot 2009.2.18.1612 2009.02.18 -
VirusBuster 4.5.11.0 2009.02.17 -
|
|
18.02.2009, 11:32
| #11 |
| | Trojan-Dropper.SEH + Popup Vielen Dank!! Das Problem ist nun gelößt! Ich musste im abgesicherten Modus die entsrechende Datei und alle temp und sonstigen Einträge löschen. Mit CCleaner nochmal aufgeräumt und alles durchsucht. Jetzt ist alles wieder schön sauber, keine Popups keine Registryeinträge Ich bin glücklich und mein Rechner auch  Danke 45cl3p1u5 Du hast mir sehr geholfen. |
|
18.02.2009, 11:53
| #12 |
| Gast | Trojan-Dropper.SEH + Popup versuch vorsichtshalber noch folgendes: Bitte lade Dir Navilog1 von IL-MAFIOSO herunter. * Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen. * Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus. * Wähle E für Englisch im Sprachenmenü * Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. * Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte. * Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt. * Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein. Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt. Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. Grüße 45cl3p1u5 |
|
19.02.2009, 12:46
| #13 |
| | Trojan-Dropper.SEH + Popup Mein Problem scheint doch nicht ganz gelößt  Kaspersky kann die Virensignaturen nicht mehr updaten, mir fehlen angeblich die Rechte für die Dateioperation. Als Admin habe ich Vollzugriff auf den Ordner gegeben, trotzdem geht es nicht. Keine Ahnung was das jetzt wieder ist. Kann es ein Festplattenfehler sein? Oder hat der Virus noch was verwurstet? Ich bin ratlos... Hier die logs Code:
ATTFilter Navipromo Removal version 3.7.4 started on 19.02.2009 at 12:13:40,01
Fix running from C:\Programme\navilog1
Updated on 16.02.2009 at 18h00 by IL-MAFIOSO
Microsoft Windows XP *** Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : *** ( Administrator )
BOOT : Normal boot
Antivirus : Kaspersky Internet Security 8.0.0.506 (Not Activated)
Firewall : Kaspersky Internet Security 8.0.0.506 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:596 Go (Free:495 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
Automatic removal
with Catchme and GNS results
Cleanning stage done on Reboot
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
*** Deleting with Backups GenericNaviSearch results ***
* Deletion in "C:\WINDOWS\System32" *
* Deletion in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *
* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *
*** Deleting folders in "C:\WINDOWS" ***
*** Deleting folders in "C:\Programme" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***
*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***
*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***
*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***
*** Deleting files ***
*** Deleting temporary files ***
Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\***\lokale~1\Temp done !
*** Complementary Search ***
(Search specific files)
1)Deletion with backups new Instant Access files:
2)Heuristic search and deletion with backups :
* In "C:\WINDOWS\system32" *
* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *
* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *
*** Copy Registry to Safebackup folder ***
Backing up Registry done !
*** Cleaning Registry ***
Registry cleaned
*** Certificates ***
Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !
*** Search others known folders and files ***
*** Cleaning stage complete on 19.02.2009 at 12:18:57,90 ***
Code:
ATTFilter Search Navipromo version 3.7.4 began on 19.02.2009 at 12:12:14,40
!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Updated on 16.02.2009 at 18h00 by IL-MAFIOSO
Microsoft Windows XP *** Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : *** ( Administrator )
BOOT : Normal boot
Antivirus : Kaspersky Internet Security 8.0.0.506 (Not Activated)
Firewall : Kaspersky Internet Security 8.0.0.506 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:596 Go (Free:495 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
Search done in normal mode
*** Searching for installed Software ***
*** Search folders in "C:\WINDOWS" ***
*** Search folders in "C:\Programme" ***
*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***
*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!
* Scan in "C:\WINDOWS\system32" *
* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *
*** Search files ***
*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!
*** Complementary Search ***
(Search specific files)
1)Search new Instant Access files :
2)Heuristic Search :
* In "C:\WINDOWS\system32" :
* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :
* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :
3)Certificates Search :
Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !
4)Search others known folders and files :
*** Search completed on 19.02.2009 at 12:12:40,07 ***
Code:
ATTFilter 19.02.2009 12:40:28 Fehler bei der Untersuchung einer geladenen Komponente KDBI386
19.02.2009 12:40:28 Fehler beim Update einer Komponente KDBI386
19.02.2009 12:40:28 Unzureichende Rechte zum Ausführen einer Datei-Operation C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Kaspersky Lab/AVP8/Bases/klavemu.kdl
19.02.2009 12:40:28 Unzureichende Rechte zum Ausführen einer Datei-Operation C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Kaspersky Lab/AVP8/Bases/kavbase.kdl
|
|
19.02.2009, 14:32
| #14 |
| Gast | Trojan-Dropper.SEH + Popup Hallo Marfi, das hat nichts mit Dateirechten zu tun, sondern irgendwie ist Dein Lizenzschlüssel von Kaspersky beschädigt worden und Du hast deshalb keine Rechte mehr Updates zu machen. Weiß leider nicht, wie man das behebt. Ich würde eine Deinstallation -> Installation versuchen. Grüße 45cl3p1u5 |
|
19.02.2009, 23:30
| #15 |
| | Trojan-Dropper.SEH + Popup Hallo 45cl3p1u5, das Problem lag bei Kaspersky, jetzt ist alles wieder okay. Auf deren Server war was nicht in Ordnung. Ich habe im Support Forum duzende Einträge gefunden Vielen Dank nochmal, es scheint jetzt alles bestens zu sein. Gruß Marfi |
|
| Themen zu Trojan-Dropper.SEH + Popup |
| dateien, explorer, folge, forum, gelöscht, google, internet, internet explorer, lahm, links, löschen, neu, neustart, popup, popups, problem, seite, seiten, software, system, system32, trojan, virus, vorschläge, werbung |
