Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan-Dropper.SEH + Popup

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.02.2009, 22:34   #1
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Hallo Forum!

Ich bin neu hier, mein Problem aber wahrscheinlich nicht. Ich versuche jetzt schon seit 4 Tagen einen lästigen Zeitgenossen loszuwerden.
Ich habe schon jede Menge gegoogelt und noch mehr ausprobiert., In diesem Forum gab es schon einen thread dazu. Die Vorschläge habe ich auch alle durchprobiert.

Malwarebytes Antimalware -> kein Fund
Kaspersky -> kein Fund (mehr dazu später)
Antivir -> kein Fund
PC-Doctor -> findet und löscht in der reg den Trojan Dropper.SEH

Navilog habe ich auch durchlaufen lassen, das hat auch keinen Erfolg gebracht.

Das Problem:
Den Trojan-Dropper.SEH kann der PC-Doctor (Vollversion) finden und auch löschen, nach einem Neustart ist er aber wieder da. Ich vermutre einen Service dafür in System32 (wird leider vor Kaspersky gestartet)

Beim Internet Explorer wird beim anklicken von links bei google und auch anderen Seiten ein Popup mit Jamba Werbung oder auch andere geöffnet.
(Popups sind eigentlich auf "hoch" geblockt. Ebenso bei Kaspersky.

Heute und gestern wurde noch ein Virus in C:/System Volume Information gefunden. Konnte wegen Zugriffmangel nicht von Kaspersky gelöscht werden hats aber 3 mal pro Sekunde versucht. (Das macht den Rechner lahm )
Hab dann die entsprechenden Dateien selbst gelöscht.

Hier kommen jetzt ein paar logs. Mein Problem ist, das ich zwar mit dem Rechner umgehen kann, aber keine Ahnung habe welche von den laufenden Dateien verdächtig sind. Und wo das Problem zu suchen ist.

Mies finde ich, dass Kaspersky und Antivir (habe ich installiert, weil ich dachte das Kaspersky vom Virus kompromitiert wurde) nicht finden.

Meldung vom PC-Doctor in Reg
Code:
ATTFilter
HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn
HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#cnid
HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#did
HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#gid
         
Logs folgen

Geändert von Marfi (16.02.2009 um 22:49 Uhr)

Alt 16.02.2009, 22:35   #2
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:42:53, on 16.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [regrcg] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" regrcg
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234649902718
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1233775754_2291a953f8ce169efbfc1d44eb317d4d&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Net Burner iSCSI Service (NetBurnerService) - Paragon GmbH - C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 8119 bytes
         
__________________


Alt 16.02.2009, 22:36   #3
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Code:
ATTFilter
info.txt logfile of random's system information tool 1.05 2009-02-13 19:53:47

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.1-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81100000003}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AVRStudio4-->C:\Programme\InstallShield Installation Information\{D5D88F8F-FDA4-4CF4-9F3E-3F40118C2120}\setup.exe -runfromtemp -l0x0009 -removeonly
Canon iP3300 Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP3300\UNINST.EXE
Canon iP3300-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300 /L0x0007
Canon PhotoRecord-->MsiExec.exe /X{BBBC2B89-E193-4348-A83C-C8DD8210A4AC}
Canon Setup Utility 2.3-->"C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.3\uninst.ini
Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities Easy-PrintToolBox-->C:\WINDOWS\BJPSUNST.EXE
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
eMule-->"C:\Programme\eMule\Uninstall.exe"
EPSON Scan-->C:\Programme\epson\escndv\setup\setup.exe /r
Favorit-->"c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" -uninstall
GetDataBack for NTFS-->"C:\Programme\Runtime Software\GetDataBack for NTFS\Uninstall.exe" "C:\Programme\Runtime Software\GetDataBack for NTFS\install.log" -u
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
IsoBuster 2.2-->"C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
LevelOne WNC-0301USB Wireless Adapter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E91E8912-769D-42F0-8408-0E329443BABC}\setup.exe" -l0x9  -removeonly
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional-->MsiExec.exe /I{91110407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
O&O DiskRecovery-->MsiExec.exe /X{53480880-18E0-4097-A460-F22DD3AC6D70}
Paragon Drive Backup™ 9 Professional-->MsiExec.exe /I{485DF5E7-8379-4BFA-BAE1-9B8DBFE0D6B4}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Spyware Doctor 6.0-->C:\Programme\Spyware Doctor\unins000.exe /LOG
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VIA Plattform-Geräte-Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169} 
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
WISO Sparbuch 2009-->C:\Programme\InstallShield Installation Information\{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}\Setup.exe -runfromtemp -l0x0007 -removeonly

=====HijackThis Backups=====

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

======Security center information======

AV: Avira AntiVir PersonalEdition
AV: Kaspersky Internet Security
FW: Kaspersky Internet Security

System event log

Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.

Record Number: 752
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.

Record Number: 751
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.

Record Number: 750
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.

Record Number: 749
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 7
Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D.

Record Number: 748
Source Name: Disk
Time Written: 20090203205040.000000+060
Event Type: Fehler
User: 

Application event log

Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst ContentIndex (ContentIndex) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090201223013.000000+060
Event Type: Informationen
User: 

Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090201223012.000000+060
Event Type: Informationen
User: 

Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090201222840.000000+060
Event Type: Informationen
User: 

Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090201222838.000000+060
Event Type: Informationen
User: 

Computer Name: ***
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090201222837.000000+060
Event Type: Informationen
User: 

Security event log

Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.


Name des Authentifizierungspakets:	C:\WINDOWS\system32\msv1_0.dll : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Record Number: 329
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.


Name des Authentifizierungspakets:	C:\WINDOWS\system32\wdigest.dll : WDigest

Record Number: 328
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.


Name des Authentifizierungspakets:	C:\WINDOWS\system32\schannel.dll : Schannel

Record Number: 327
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.


Name des Authentifizierungspakets:	C:\WINDOWS\system32\schannel.dll : Microsoft Unified Security Protocol Provider

Record Number: 326
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 514
Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen.
Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren.


Name des Authentifizierungspakets:	C:\WINDOWS\system32\msv1_0.dll : NTLM

Record Number: 325
Source Name: Security
Time Written: 20090202184827.000000+060
Event Type: Überwachung erfolgreich
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
         
__________________

Alt 16.02.2009, 22:38   #4
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Uninstall List

Code:
ATTFilter
Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.1
Avira AntiVir Personal - Free Antivirus
AVRStudio4
Canon iP3300
Canon iP3300 Benutzerregistrierung
Canon PhotoRecord
Canon Setup Utility 2.3
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
CCleaner (remove only)
Easy-WebPrint
EPSON Scan
Favorit
GetDataBack for NTFS
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix für Windows XP (KB952287)
IsoBuster 2.2
Java(TM) 6 Update 11
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
Kaspersky Online Scanner
LevelOne WNC-0301USB Wireless Adapter
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Professional
Microsoft Visual C++ 2005 Redistributable
MSXML 4.0 SP2 (KB954430)
Navilog1 3.7.3
neroxml
NVIDIA Drivers
O&O DiskRecovery
Paragon Drive Backup™ 9 Professional
PDFCreator
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Spyware Doctor 6.0
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
VCRedistSetup
VIA Plattform-Geräte-Manager
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Windows Media Format Runtime
Windows XP Service Pack 3
WinRAR
WISO Sparbuch 2008
WISO Sparbuch 2009
XML Paper Specification Shared Components Language Pack 1.0
         

Alt 16.02.2009, 22:39   #5
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



RSIT-log Teil 1

Code:
ATTFilter
Logfile of random's system information tool 1.05 (written by random/random)
Run by *** at 2009-02-16 12:44:46
Microsoft Windows XP *** Edition Service Pack 3
System drive C: has 497 GB (81%) free of 610 GB
Total RAM: 3197 MB (75% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:51, on 16.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [regrcg] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" regrcg
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234649902718
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1233775754_2291a953f8ce169efbfc1d44eb317d4d&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Net Burner iSCSI Service (NetBurnerService) - Paragon GmbH - C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 8167 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2009-02-02 62728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}]
EWPBrowseObject Class - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll [2006-04-18 34304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-02-05 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-02-05 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-02-05 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"=C:\WINDOWS\system32\nvraidservice.exe [2007-11-30 188448]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-11-28 8491008]
"nwiz"=nwiz.exe /install []
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-10-10 39792]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2007-11-28 81920]
"HDAudDeck"=C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe [2008-05-14 29831168]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-02-06 201992]
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-02-05 136600]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"ISTray"=C:\Programme\Spyware Doctor\pctsTray.exe [2008-08-25 1168264]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"regrcg"=c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe [2009-02-02 278528]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"ccleaner"=C:\Programme\CCleaner\CCleaner.exe [2009-01-20 1451248]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
LevelOne Wireless Utility.lnk - C:\Programme\LevelOne\Common\RaUI.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-04-25 206088]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Disabled:Java(TM) Platform SE binary"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fca5a5c3-f0a4-11dd-81b9-806d6172696f}]
shell\AutoRun\command - E:\cdstart.exe
         


Alt 16.02.2009, 22:41   #6
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



RSIT Log Teil 2

Code:
ATTFilter
======List of files/folders created in the last 1 months======

2009-02-15 21:59:55 ----D---- C:\Programme\Gemeinsame Dateien\Buhl Data Service
2009-02-15 18:45:52 ----D---- C:\WINDOWS\ERUNT
2009-02-15 18:41:47 ----D---- C:\SDFix
2009-02-15 06:33:52 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-02-15 06:33:52 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-02-15 00:26:20 ----N---- C:\WINDOWS\system32\spmsg2.dll
2009-02-15 00:26:19 ----HDC---- C:\WINDOWS\$NtUninstallXPSEPSCLP$
2009-02-15 00:22:03 ----D---- C:\WINDOWS\system32\XPSViewer
2009-02-15 00:22:00 ----D---- C:\Programme\MSBuild
2009-02-15 00:21:58 ----D---- C:\WINDOWS\system32\en-US
2009-02-15 00:21:52 ----D---- C:\Programme\Reference Assemblies
2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\xpssvcs.dll
2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\prntvpt.dll
2009-02-15 00:21:31 ----D---- C:\cc6f374efb8b018550a2e0ba61
2009-02-15 00:09:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2009-02-14 11:20:30 ----A---- C:\cleannavi.txt
2009-02-14 10:52:04 ----A---- C:\fixnavi.txt
2009-02-14 10:48:58 ----D---- C:\Programme\Navilog1
2009-02-14 10:44:13 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-02-14 10:38:53 ----D---- C:\WINDOWS\system32\Kaspersky Lab
2009-02-13 19:53:43 ----D---- C:\rsit
2009-02-11 16:44:19 ----A---- C:\CKINFO.TXT
2009-02-11 16:44:05 ----D---- C:\Programme\Stellar Phoenix Windows Data Recovery
2009-02-10 19:31:00 ----D---- C:\Programme\Lavasoft
2009-02-10 19:31:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-10 15:49:48 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-02-10 15:49:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-10 13:10:38 ----D---- C:\ARCEA Backup
2009-02-09 19:12:02 ----A---- C:\WINDOWS\system32\pdfcmnnt.dll
2009-02-09 19:12:01 ----D---- C:\Programme\PDFCreator
2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\VB6DE.DLL
2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSMPIDE.DLL
2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSCMCDE.DLL
2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSCC2DE.DLL
2009-02-09 19:06:54 ----A---- C:\WINDOWS\system32\regsvr32.exe.log
2009-02-09 18:16:20 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-09 18:16:09 ----D---- C:\Programme\Spyware Doctor
2009-02-09 18:16:09 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools
2009-02-09 18:04:49 ----D---- C:\Programme\CCleaner
2009-02-09 18:01:33 ----D---- C:\Programme\Trend Micro
2009-02-09 17:33:28 ----D---- C:\Programme\Smart Projects
2009-02-09 13:18:30 ----D---- C:\Programme\Avira
2009-02-09 13:18:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-02-09 12:58:21 ----A---- C:\WINDOWS\system32\BASSMOD.dll
2009-02-09 12:58:06 ----D---- C:\Temp
2009-02-08 19:49:41 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ashampoo
2009-02-08 19:47:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2009-02-08 17:55:05 ----A---- C:\WINDOWS\system32\MsiExec.exe.log
2009-02-08 17:52:54 ----D---- C:\WINDOWS\RegisteredPackages
2009-02-08 17:52:34 ----A---- C:\WINDOWS\system32\d3dx9_28.dll
2009-02-08 17:05:49 ----A---- C:\WINDOWS\Crypkey.ini
2009-02-08 17:05:46 ----RA---- C:\WINDOWS\Setup_ck.exe
2009-02-08 17:05:46 ----A---- C:\WINDOWS\system32\Crypserv.exe
2009-02-08 17:05:46 ----A---- C:\WINDOWS\Setup_ck.dll
2009-02-08 17:05:46 ----A---- C:\WINDOWS\Ckrfresh.exe
2009-02-08 17:05:46 ----A---- C:\WINDOWS\Ckconfig.exe
2009-02-08 17:05:42 ----D---- C:\Programme\Disk Doctors NTFS Data Recovery
2009-02-08 13:11:04 ----D---- C:\Programme\Areca
2009-02-08 11:53:19 ----D---- C:\Programme\MSXML 4.0
2009-02-07 18:34:25 ----A---- C:\WINDOWS\system32\wdapi811.dll
2009-02-07 18:34:24 ----N---- C:\WINDOWS\system32\msvcr70.dll
2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\wdapi920.dll
2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\vc6-re200l.dll
2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\RWUXThemeS.dll
2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\BCGCBPRO95580.dll
2009-02-07 18:34:16 ----D---- C:\Programme\Atmel
2009-02-07 17:57:09 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-02-07 17:56:09 ----D---- C:\Programme\Paragon Software
2009-02-06 20:36:26 ----A---- C:\WINDOWS\Irremote.ini
2009-02-06 20:04:10 ----A---- C:\WINDOWS\system32\d3dx9_30.dll
2009-02-06 19:42:13 ----A---- C:\WINDOWS\wiso.ini
2009-02-06 19:16:32 ----A---- C:\WINDOWS\system32\cdintf300.dll
2009-02-06 19:15:46 ----D---- C:\Programme\WISO
2009-02-06 19:08:52 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Buhl Data Service
2009-02-06 19:07:38 ----RSD---- C:\WINDOWS\assembly
2009-02-06 19:07:23 ----D---- C:\WINDOWS\Microsoft.NET
2009-02-06 19:05:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2009-02-05 20:28:24 ----D---- C:\WINDOWS\Sun
2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\javaws.exe
2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\javaw.exe
2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\java.exe
2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-02-05 20:28:10 ----D---- C:\Programme\Java
2009-02-05 20:27:25 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun
2009-02-03 20:04:26 ----D---- C:\Programme\OO Software
2009-02-03 19:31:25 ----D---- C:\Programme\Runtime Software
2009-02-03 04:40:38 ----A---- C:\WINDOWS\ODBC.INI
2009-02-03 04:39:56 ----D---- C:\Programme\Gemeinsame Dateien\Designer
2009-02-03 04:38:55 ----D---- C:\WINDOWS\ShellNew
2009-02-03 04:38:49 ----D---- C:\Programme\Microsoft Office
2009-02-02 21:24:29 ----D---- C:\WINDOWS\Minidump
2009-02-02 20:47:58 ----HD---- C:\WINDOWS\PIF
2009-02-02 20:46:38 ----D---- C:\Programme\eMule
2009-02-02 20:44:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Help
2009-02-02 20:41:07 ----D---- C:\WINDOWS\Prefetch
2009-02-02 20:27:02 ----D---- C:\WINDOWS\system32\de
2009-02-02 20:27:02 ----D---- C:\WINDOWS\system32\bits
2009-02-02 20:27:02 ----D---- C:\WINDOWS\l2schemas
2009-02-02 20:25:16 ----D---- C:\WINDOWS\ServicePackFiles
2009-02-02 20:22:13 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-02-02 20:20:51 ----D---- C:\WINDOWS\E***
2009-02-02 20:17:10 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia
2009-02-02 20:15:23 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR
2009-02-02 20:15:05 ----D---- C:\Programme\WinRAR
2009-02-02 19:54:46 ----D---- C:\WINDOWS\ie7updates
2009-02-02 19:54:33 ----D---- C:\WINDOWS\WBEM
2009-02-02 19:54:31 ----D---- C:\WINDOWS\system32\de-de
2009-02-02 19:54:15 ----HDC---- C:\WINDOWS\ie7
2009-02-02 19:54:08 ----HDC---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$
2009-02-02 19:53:58 ----HDC---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$
2009-02-02 19:53:47 ----A---- C:\WINDOWS\system32\xmllite.dll
2009-02-02 19:53:19 ----D---- C:\WINDOWS\network diagnostic
2009-02-02 19:50:17 ----A---- C:\WINDOWS\system32\MRT.exe
2009-02-02 19:18:59 ----D---- C:\Programme\Gemeinsame Dateien\CANON
2009-02-02 19:18:35 ----A---- C:\WINDOWS\BJPSUNST.EXE
2009-02-02 19:17:49 ----A---- C:\WINDOWS\IsUn0407.exe
2009-02-02 19:17:30 ----A---- C:\WINDOWS\OpPrintServer.INI
2009-02-02 19:16:12 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2009-02-02 19:16:07 ----A---- C:\WINDOWS\system32\CNMLM84.DLL
2009-02-02 19:16:04 ----HD---- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2009-02-02 19:16:00 ----HD---- C:\Programme\CanonBJ
2009-02-02 19:15:04 ----D---- C:\Programme\Canon
2009-02-02 19:13:58 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-02-02 19:13:58 ----D---- C:\WINDOWS\system32\PreInstall
2009-02-02 19:13:57 ----HD---- C:\WINDOWS\$hf_mig$
2009-02-02 19:13:38 ----D---- C:\Programme\epson
2009-02-02 19:13:37 ----A---- C:\WINDOWS\system32\eswia52.dll
2009-02-02 19:13:37 ----A---- C:\WINDOWS\system32\esint52.dll
2009-02-02 19:12:45 ----A---- C:\WINDOWS\CDE P34903590GD.ini
2009-02-02 19:07:50 ----A---- C:\WINDOWS\system32\wpa.bak
2009-02-02 19:06:44 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2009-02-02 19:01:38 ----A---- C:\WINDOWS\system32\Install7x.dll
2009-02-02 19:01:38 ----A---- C:\WINDOWS\system32\AegisI5.exe
2009-02-02 19:01:00 ----D---- C:\Programme\LevelOne
2009-02-02 18:50:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-02-02 18:45:48 ----D---- C:\Programme\Kaspersky Lab
2009-02-02 18:45:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-02 18:26:08 ----SHD---- C:\RECYCLER
2009-02-02 18:24:10 ----HD---- C:\Programme\InstallShield Installation Information
2009-02-02 18:23:39 ----A---- C:\WINDOWS\system32\ksuser.dll
2009-02-02 18:23:29 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-02-02 18:22:59 ----N---- C:\WINDOWS\system32\difxapi.dll
2009-02-02 18:22:59 ----D---- C:\Programme\VIA
2009-02-02 18:22:53 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-02-02 18:20:31 ----D---- C:\WINDOWS\NV17481752.TMP
2009-02-02 18:18:47 ----RA---- C:\WINDOWS\system32\fdco1.dll
2009-02-02 18:18:46 ----RA---- C:\WINDOWS\system32\nvconrm.dll
2009-02-02 18:18:46 ----RA---- C:\WINDOWS\system32\bdco1.dll
2009-02-02 18:18:46 ----A---- C:\WINDOWS\system32\nvunrm.exe
2009-02-02 18:12:33 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2009-02-02 18:11:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-02-02 18:11:52 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-02-02 18:11:52 ----D---- C:\Programme\Adobe
2009-02-02 18:05:59 ----D---- C:\WINDOWS\nview
2009-02-02 18:05:59 ----A---- C:\WINDOWS\system32\nvudisp.exe
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerzht.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerzhc.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServertr.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerth.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersv.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersl.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersk.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerru.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerptb.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerpt.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerpl.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerno.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServernl.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerko.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerja.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerit.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerhu.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerhe.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerfr.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerfi.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServeres.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerenu.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServereng.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerel.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerde.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerda.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServercs.dll
2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionzht.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionzhc.dll
         

Alt 16.02.2009, 22:42   #7
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



RSIT Log Teil 3

Code:
ATTFilter
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectiontr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionth.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsv.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsk.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionru.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionptb.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionpt.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionpl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionno.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionnl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionko.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionja.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionit.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionhu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionhe.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionfr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionfi.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectiones.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionenu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectioneng.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionel.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionde.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionda.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectioncs.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvsataconnection.exe
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardzht.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardzhc.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardtr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardth.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsv.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsk.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardru.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardptb.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardpt.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardpl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardno.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardnl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardko.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardja.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardit.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardhu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardhe.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardfr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardfi.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardes.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardenu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardeng.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardel.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardde.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardda.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardcs.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizard.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvzht.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvzhc.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvtr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvth.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsv.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsk.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvru.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvptb.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvpt.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvpl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvno.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvnl.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvko.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvja.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvit.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvhu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvhe.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvfr.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvfi.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSves.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvenu.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSveng.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvel.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvde.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvda.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvcs.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvraidservice.exe
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidServer.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvexpbar.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvcpluir.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvcplui.exe
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MSVCR71.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MSVCP71.dll
2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MFC71.dll
2009-02-02 18:04:59 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-02-02 18:04:57 ----RA---- C:\WINDOWS\system32\fdco1ins.dll
2009-02-02 18:04:56 ----RA---- C:\WINDOWS\system32\bdco1ins.dll
2009-02-02 18:04:55 ----RA---- C:\WINDOWS\system32\nvusmb.exe
2009-02-02 18:04:52 ----RA---- C:\WINDOWS\system32\NVUNINST.EXE
2009-02-02 18:04:49 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2009-02-02 18:04:29 ----A---- C:\WINDOWS\Ascd_log.ini
2009-02-02 18:03:56 ----A---- C:\WINDOWS\Ascd_tmp.ini
2009-02-01 23:11:00 ----SH---- C:\boot.ini
2009-02-01 23:06:32 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-02-01 23:06:32 ----RSD---- C:\WINDOWS\Fonts
2009-02-01 23:06:32 ----RD---- C:\WINDOWS\Web
2009-02-01 23:06:32 ----HD---- C:\WINDOWS\inf
2009-02-01 23:06:32 ----D---- C:\WINDOWS\WinSxS
2009-02-01 23:06:32 ----D---- C:\WINDOWS\twain_32
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Temp
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\wins
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\wbem
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\usmt
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\spool
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ShellExt
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\Setup
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ras
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\oobe
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\npp
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\mui
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\inetsrv
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\IME
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\icsxml
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ias
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\export
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\drivers
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\dhcp
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\config
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\3com_dmi
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\3076
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\2052
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1054
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1042
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1041
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1037
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1033
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1031
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1028
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1025
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32
2009-02-01 23:06:32 ----D---- C:\WINDOWS\system
2009-02-01 23:06:32 ----D---- C:\WINDOWS\security
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Resources
2009-02-01 23:06:32 ----D---- C:\WINDOWS\repair
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Provisioning
2009-02-01 23:06:32 ----D---- C:\WINDOWS\PeerNet
2009-02-01 23:06:32 ----D---- C:\WINDOWS\pchealth
2009-02-01 23:06:32 ----D---- C:\WINDOWS\OemDir
2009-02-01 23:06:32 ----D---- C:\WINDOWS\mui
2009-02-01 23:06:32 ----D---- C:\WINDOWS\msapps
2009-02-01 23:06:32 ----D---- C:\WINDOWS\msagent
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Media
2009-02-01 23:06:32 ----D---- C:\WINDOWS\java
2009-02-01 23:06:32 ----D---- C:\WINDOWS\ime
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Help
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Driver Cache
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Debug
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Cursors
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Connection Wizard
2009-02-01 23:06:32 ----D---- C:\WINDOWS\Config
2009-02-01 23:06:32 ----D---- C:\WINDOWS\AppPatch
2009-02-01 23:06:32 ----D---- C:\WINDOWS\addins
2009-02-01 23:06:32 ----D---- C:\WINDOWS
2009-02-01 22:37:09 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Identities
2009-02-01 22:37:08 ----HD---- C:\Programme\Uninstall Information
2009-02-01 22:37:03 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2009-02-01 22:37:03 ----ASH---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\desktop.ini
2009-02-01 22:35:12 ----D---- C:\WINDOWS\SoftwareDistribution
2009-02-01 22:35:10 ----SD---- C:\WINDOWS\system32\Microsoft
2009-02-01 22:35:10 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-02-01 22:32:17 ----D---- C:\WINDOWS\system32\xircom
2009-02-01 22:32:17 ----D---- C:\Programme\xerox
2009-02-01 22:32:17 ----D---- C:\Programme\microsoft frontpage
2009-02-01 22:32:14 ----A---- C:\WINDOWS\control.ini
2009-02-01 22:32:14 ----A---- C:\AUTOEXEC.BAT
2009-02-01 22:32:08 ----A---- C:\WINDOWS\system32\mapi32.dll
2009-02-01 22:31:37 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-02-01 22:31:37 ----RD---- C:\WINDOWS\Offline Web Pages
2009-02-01 22:31:37 ----RAH---- C:\WINDOWS\system32\logonui.exe.manifest
2009-02-01 22:31:33 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest
2009-02-01 22:31:31 ----HD---- C:\Programme\WindowsUpdate
2009-02-01 22:31:30 ----D---- C:\Programme\Online-Dienste
2009-02-01 22:31:19 ----D---- C:\WINDOWS\system32\DirectX
2009-02-01 22:31:04 ----A---- C:\WINDOWS\system32\atrace.dll
2009-02-01 22:31:02 ----A---- C:\WINDOWS\system32\desktop.ini
2009-02-01 22:31:02 ----A---- C:\WINDOWS\desktop.ini
2009-02-01 22:30:57 ----A---- C:\WINDOWS\system32\nmevtmsg.dll
2009-02-01 22:30:56 ----D---- C:\Programme\Gemeinsame Dateien\Dienste
2009-02-01 22:30:56 ----A---- C:\WINDOWS\system32\acctres.dll
2009-02-01 22:30:53 ----SD---- C:\WINDOWS\Tasks
2009-02-01 22:30:53 ----D---- C:\Programme\Gemeinsame Dateien\MSSoap
2009-02-01 22:30:53 ----A---- C:\WINDOWS\system32\icfgnt5.dll
2009-02-01 22:30:50 ----D---- C:\WINDOWS\system32\Macromed
2009-02-01 22:30:50 ----D---- C:\WINDOWS\srchasst
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuweb.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wups.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wucltui.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauserv.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuaueng1.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuaueng.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauclt1.exe
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauclt.exe
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuapi.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\qmgrprxy.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\qmgr.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\bitsprx3.dll
2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\bitsprx2.dll
2009-02-01 22:30:44 ----D---- C:\Programme\Movie Maker
2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrslv.dll
2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrdm.dll
2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrcdlg.dll
2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\racpldlg.dll
2009-02-01 22:30:39 ----D---- C:\WINDOWS\system32\Restore
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srsvc.dll
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srrstr.dll
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srclient.dll
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\fltmc.exe
2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\fltlib.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\nmmkcert.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\msconf.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\mnmsrvc.exe
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\mnmdd.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\isrdbg32.dll
2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\ils.dll
2009-02-01 22:30:36 ----D---- C:\Programme\NetMeeting
2009-02-01 22:30:36 ----A---- C:\WINDOWS\system32\msoert2.dll
2009-02-01 22:30:36 ----A---- C:\WINDOWS\system32\msoeacct.dll
2009-02-01 22:30:35 ----A---- C:\WINDOWS\system32\inetres.dll
2009-02-01 22:30:35 ----A---- C:\WINDOWS\system32\inetcomm.dll
2009-02-01 22:30:34 ----D---- C:\Programme\Outlook Express
2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\schedsvc.dll
2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\mstinit.exe
2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\mstask.dll
2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\isign32.dll
2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\inetcfg.dll
2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\icwphbk.dll
2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\icwdial.dll
2009-02-01 22:30:29 ----D---- C:\Programme\Internet Explorer
2009-02-01 22:30:29 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-02-01 22:30:26 ----D---- C:\Programme\ComPlus Applications
2009-02-01 22:30:26 ----A---- C:\WINDOWS\vbaddin.ini
2009-02-01 22:30:26 ----A---- C:\WINDOWS\vb.ini
2009-02-01 22:30:25 ----D---- C:\WINDOWS\Registration
2009-02-01 22:30:13 ----D---- C:\Programme\Online Services
2009-02-01 22:30:12 ----D---- C:\Programme\Windows Media Player
2009-02-01 22:30:11 ----D---- C:\Programme\Messenger
2009-02-01 22:30:08 ----D---- C:\Programme\MSN Gaming Zone
2009-02-01 22:30:08 ----A---- C:\WINDOWS\system32\write.exe
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\sndvol32.exe
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\hticons.dll
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avwav.dll
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avtapi.dll
2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avmeter.dll
2009-02-01 22:29:59 ----A---- C:\WINDOWS\system32\winchat.exe
2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\getuname.dll
2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\charmap.exe
2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\calc.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\winmine.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\usrlogon.cmd
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tsshutdn.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tslabels.ini
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tskill.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tsdiscon.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tscon.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\sol.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\shadow.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\reset.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\mshearts.exe
2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\freecell.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\rwinsta.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\regini.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\rdpcfgex.dll
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\qwinsta.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\qappsrv.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\msg.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\msdtcprf.ini
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\logoff.exe
2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\cdmodem.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\stclient.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxlegih.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxex.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxdm.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\dcomcnfg.exe
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comsnap.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comrepl.dll
2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comaddin.dll
2009-02-01 22:29:47 ----A---- C:\WINDOWS\system32\wmimgmt.msc
2009-02-01 22:29:40 ----D---- C:\Programme\MSN
2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\sndrec32.exe
2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\mplay32.exe
2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\accwiz.exe
2009-02-01 22:29:39 ----D---- C:\Programme\Windows NT
2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\spider.exe
2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\mspaint.exe
2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\hypertrm.dll
2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\clipbrd.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\tscupgrd.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\tscfgwmi.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\termsrv.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\sessmgr.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\remotepg.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdshost.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdsaddin.exe
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdchost.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\mstscax.dll
2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\mstsc.exe
2009-02-01 22:29:37 ----D---- C:\WINDOWS\system32\MsDtc
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpwsx.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpsnd.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpclip.exe
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\qprocess.exe
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\mtxoci.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtcuiu.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtctm.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtcprx.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\icaapi.dll
2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\cfgbkend.dll
2009-02-01 22:29:36 ----D---- C:\WINDOWS\system32\Com
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\xolehlp.dll
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\msdtclog.dll
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\msdtc.exe
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\colbact.dll
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\clbcatex.dll
2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\catsrvps.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\comuid.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\comsvcs.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\clbcatq.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\catsrvut.dll
2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\catsrv.dll
2009-02-01 22:29:32 ----A---- C:\WINDOWS\system32\servdeps.dll
2009-02-01 22:29:32 ----A---- C:\WINDOWS\system32\mmfutil.dll
2009-02-01 22:29:31 ----A---- C:\WINDOWS\system32\licwmi.dll
2009-02-01 22:29:31 ----A---- C:\WINDOWS\system32\cmprops.dll
2009-02-01 22:28:18 ----A---- C:\WINDOWS\system32\h323log.txt
2009-02-01 22:14:04 ----A---- C:\WINDOWS\system32\hidserv.dll
2009-02-01 22:13:38 ----A---- C:\WINDOWS\system32\usbui.dll
2009-02-01 22:13:07 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-02-01 22:13:06 ----SHD---- C:\WINDOWS\Installer
2009-02-01 22:13:06 ----D---- C:\Programme\Gemeinsame Dateien\ODBC
2009-02-01 22:13:06 ----A---- C:\WINDOWS\ODBCINST.INI
2009-02-01 22:13:04 ----D---- C:\Programme\Gemeinsame Dateien\SpeechEngines
2009-02-01 22:13:03 ----RD---- C:\Programme
2009-02-01 22:13:03 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-02-01 22:13:03 ----AD---- C:\Programme\Gemeinsame Dateien
2009-02-01 22:13:02 ----RA---- C:\WINDOWS\system32\kbdazel.dll
2009-02-01 22:13:01 ----RA---- C:\WINDOWS\system32\kbdtuq.dll
2009-02-01 22:13:01 ----RA---- C:\WINDOWS\system32\kbdtuf.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdycc.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbduzb.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdur.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdtat.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdru1.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdru.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdmon.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdkyr.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdkaz.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdbu.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdblr.dll
2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdaze.dll
2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhept.dll
2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhela3.dll
2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhela2.dll
2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhe319.dll
2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdhe220.dll
2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdhe.dll
2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdgkl.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlv1.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlv.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlt1.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlt.dll
2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdest.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdycl.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdsl1.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdsl.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdro.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdpl1.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdpl.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdhu1.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdhu.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz2.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz1.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcr.dll
2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\KBDAL.DLL
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\spxcoins.dll
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\irclass.dll
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\EqnClass.Dll
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\dgsetup.dll
2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\dgrpsetu.dll
2009-02-01 22:12:52 ----N---- C:\WINDOWS\system32\CONFIG.TMP
2009-02-01 22:12:52 ----A---- C:\WINDOWS\TASKMAN.EXE
2009-02-01 22:12:52 ----A---- C:\WINDOWS\system32\batt.dll
2009-02-01 22:12:51 ----A---- C:\WINDOWS\system32\storprop.dll
2009-02-01 22:12:51 ----A---- C:\WINDOWS\notepad.exe
         

Alt 16.02.2009, 22:43   #8
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



RSIT Log Teil 4

Code:
ATTFilter
2009-02-01 22:12:48 ----ASH---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
2009-02-01 22:12:45 ----RA---- C:\WINDOWS\SET8.tmp
2009-02-01 22:12:43 ----RA---- C:\WINDOWS\SET4.tmp
2009-02-01 22:12:42 ----RA---- C:\WINDOWS\SET3.tmp
2009-02-01 22:12:39 ----D---- C:\WINDOWS\system32\CatRoot2
2009-02-01 22:12:39 ----D---- C:\WINDOWS\system32\CatRoot
2009-02-01 22:12:33 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-02-01 22:12:16 ----SHD---- C:\System Volume Information
2009-02-01 22:12:16 ----D---- C:\Dokumente und Einstellungen

======List of files/folders modified in the last 1 months======

2009-02-16 12:22:03 ----A---- C:\WINDOWS\system.ini
2009-02-15 09:19:27 ----A---- C:\WINDOWS\win.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072]
R1 IKSysFlt;System Filter Driver; C:\WINDOWS\system32\drivers\iksysflt.sys [2008-08-25 66952]
R1 IKSysSec;System Security Driver; C:\WINDOWS\system32\drivers\iksyssec.sys [2008-08-25 81288]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 klif;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-02-06 213520]
R1 NetBurn;Paragon NetBurning Driver; C:\WINDOWS\system32\DRIVERS\NetBurn.sys [2008-06-28 84752]
R1 NetworkX;NetworkX; C:\WINDOWS\system32\ckldrv.sys [2006-01-10 31846]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 Uim_IM;UIM Drive Backup Image Plugin; C:\WINDOWS\System32\Drivers\Uim_IM.sys [2008-06-28 130688]
R1 UimBus;Universal Image Mounter Controller; C:\WINDOWS\system32\DRIVERS\UimBus.sys [2008-06-28 33072]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.3.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-02-02 20747]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592]
R3 monfilt;monfilt; C:\WINDOWS\system32\drivers\monfilt.sys [2008-02-14 1389056]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-12 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-11-28 6866912]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2007-11-17 22016]
R3 RT73;LevelOne WNC-0301USB Wireless Adapter Driver; C:\WINDOWS\system32\DRIVERS\rt73.sys [2005-11-03 245504]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service; C:\WINDOWS\system32\drivers\viahduaa.sys [2008-05-08 238080]
R3 WinDriver6;WinDriver6; C:\WINDOWS\system32\drivers\windrvr6.sys [2008-02-19 191424]
S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2007-11-17 54016]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 avp;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-02-06 201992]
R2 Crypkey License;Crypkey License; C:\WINDOWS\system32\crypserv.exe [2006-03-01 69632]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-02-05 152984]
R2 NetBurnerService;Net Burner iSCSI Service; C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe [2008-06-28 223248]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-11-28 155716]
R2 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2008-06-13 356920]
R2 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2008-10-09 1079176]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe []
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
         

Alt 16.02.2009, 22:59   #9
45cl3p1u5
Gast
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Hallo Marfi,

Du musst die Wiederherstellungspunkte von Windows löschen, in denen ist der Virus gespeichert, was natürlich blöd ist.
Also:
Rechtsklick Arbeitsplatz -> Eigenschaften -> Register Wiederherstellung -> automatische Wiederherstellung deaktivieren -> ok
Kannst Du nachdem die Dateien gelöscht wurden wieder aktivieren.

- lass die Virenprogramme nochmal laufen (Kaspersky und Malwarebytes)
- C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe unter VirusTotal - Kostenloser online Viren- und Malwarescanner prüfen lassen,

wenn Sie nichts finden, dann (sonst nochmal melden):

- CCleaner laufen lassen
- HijackThis laufen lassen (und Logfile posten)

anschließend noch ein bischen aufräumen (deinstallieren):

- Adobe Reader 8.1.1 (neue Version 9 laden)
- Java(TM) 6 Update 11 (Java 6 Update 12 laden)
- Microsoft .NET Framework 2.0 Service Pack 2 (Neue Version schon vorhanden)
- Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU (Neue Version schon vorhanden)
- Microsoft .NET Framework 3.0 Service Pack 2 (Neue Version schon vorhanden)
- Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU (Neue Version schon vorhanden)
- WISO Sparbuch 2008 (2009 vorhanden)

AnitVirenprogramme (such Dir eins aus, der Rest fliegt weg!):
- Malwarebytes' Anti-Malware
- Navilog1 3.7.3
- Kaspersky Internet Security 2009
- Spyware Doctor 6.0
- Antivir

brauchst auch nicht auf dem System (bei Bedarf neu installieren)
- HijackThis 2.0.2
- CCleaner

Grüße
45cl3p1u5

Geändert von 45cl3p1u5 (16.02.2009 um 23:11 Uhr)

Alt 18.02.2009, 09:26   #10
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Hallo 45cl3p1u5,

soweit wie Du mir es gesagt hast, habe ich es durchgeführt. Als ich die regrcg.exe untersuchen wollte, habe ich sie nicht mehr gefunden.

stattdessen fiel mir diese hier auf.

Code:
ATTFilter
C:\Dokumente und Einstellungen\***\LokaleEinstellungen\Anwendungsdaten\wqymsei.exe
         
Mit der Windows Suchfunktion finde ich diese nicht. Aber CCleaner hatte sie im Autostart.

VirusTotal hat da auch was gefunden

Ich melde mich nochmal, ob das Problem jetzt gelößt ist.

Code:
ATTFilter
Datei wqymsei.exe empfangen 2009.02.18 10:17:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 4/39 (10.26%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 58 und 83 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
 Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.0.0.93 2009.02.18 - 
AhnLab-V3 2009.2.17.2 2009.02.18 - 
AntiVir 7.9.0.83 2009.02.18 - 
Authentium 5.1.0.4 2009.02.18 - 
Avast 4.8.1335.0 2009.02.17 - 
AVG 8.0.0.237 2009.02.17 - 
BitDefender 7.2 2009.02.18 - 
CAT-QuickHeal 10.00 2009.02.18 - 
ClamAV 0.94.1 2009.02.18 - 
Comodo 982 2009.02.17 - 
DrWeb 4.44.0.09170 2009.02.18 - 
eSafe 7.0.17.0 2009.02.17 - 
eTrust-Vet 31.6.6363 2009.02.18 - 
F-Prot 4.4.4.56 2009.02.17 - 
F-Secure 8.0.14470.0 2009.02.18 - 
Fortinet 3.117.0.0 2009.02.18 - 
GData 19 2009.02.18 - 
Ikarus T3.1.1.45.0 2009.02.18 - 
K7AntiVirus 7.10.582 2009.01.09 - 
Kaspersky 7.0.0.125 2009.02.18 - 
McAfee 5529 2009.02.17 - 
McAfee+Artemis 5529 2009.02.17 - 
Microsoft 1.4306 2009.02.18 - 
NOD32 3863 2009.02.18 - 
Norman 6.00.06 2009.02.17 Banker.EFTK 
nProtect 2009.1.8.0 2009.02.18 - 
Panda 9.4.3.20 2009.02.17 - 
PCTools 4.4.2.0 2009.02.17 - 
Prevx1 V2 2009.02.18 Malicious Software 
Rising 21.17.21.00 2009.02.18 - 
SecureWeb-Gateway 6.7.6 2009.02.18 Ad-Spyware.LooksLike.NaviP263168 
Sophos 4.38.0 2009.02.18 - 
Sunbelt 3.2.1855.2 2009.02.17 Trojan-Spy.Win32.Ardamax.F (vf) 
Symantec 10 2009.02.18 - 
TheHacker 6.3.2.2.259 2009.02.18 - 
TrendMicro 8.700.0.1004 2009.02.18 - 
VBA32 3.12.8.13 2009.02.18 - 
ViRobot 2009.2.18.1612 2009.02.18 - 
VirusBuster 4.5.11.0 2009.02.17 -
         

Alt 18.02.2009, 10:32   #11
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Vielen Dank!!

Das Problem ist nun gelößt!

Ich musste im abgesicherten Modus die entsrechende Datei und alle temp und sonstigen Einträge löschen.

Mit CCleaner nochmal aufgeräumt und alles durchsucht.

Jetzt ist alles wieder schön sauber, keine Popups keine Registryeinträge

Ich bin glücklich und mein Rechner auch

Danke 45cl3p1u5 Du hast mir sehr geholfen.

Alt 18.02.2009, 10:53   #12
45cl3p1u5
Gast
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



versuch vorsichtshalber noch folgendes:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

* Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
* Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
* Wähle E für Englisch im Sprachenmenü
* Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
* Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
* Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
* Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Grüße
45cl3p1u5

Alt 19.02.2009, 11:46   #13
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Mein Problem scheint doch nicht ganz gelößt

Kaspersky kann die Virensignaturen nicht mehr updaten, mir fehlen angeblich die Rechte für die Dateioperation. Als Admin habe ich Vollzugriff auf den Ordner gegeben, trotzdem geht es nicht.

Keine Ahnung was das jetzt wieder ist. Kann es ein Festplattenfehler sein?
Oder hat der Virus noch was verwurstet? Ich bin ratlos...

Hier die logs

Code:
ATTFilter
Navipromo Removal version 3.7.4 started on 19.02.2009 at 12:13:40,01

Fix running from C:\Programme\navilog1

Updated on 16.02.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP *** Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : *** ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Internet Security 8.0.0.506 (Not Activated)
Firewall  : Kaspersky Internet Security 8.0.0.506 (Not Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:596 Go (Free:495 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Automatic removal 
with Catchme and GNS results


Cleanning stage done on Reboot

 
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** 


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\***\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 19.02.2009 at 12:18:57,90 ***
         
Code:
ATTFilter
Search Navipromo version 3.7.4 began on 19.02.2009 at 12:12:14,40

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 16.02.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP *** Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : *** ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Internet Security 8.0.0.506 (Not Activated)
Firewall  : Kaspersky Internet Security 8.0.0.506 (Not Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:596 Go (Free:495 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 19.02.2009 at 12:12:40,07 ***
         
Kaspersky

Code:
ATTFilter
19.02.2009 12:40:28	Fehler bei der Untersuchung einer geladenen Komponente	KDBI386	
	
19.02.2009 12:40:28	Fehler beim Update einer Komponente	KDBI386			
	

19.02.2009 12:40:28	Unzureichende Rechte zum Ausführen einer Datei-Operation	C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Kaspersky Lab/AVP8/Bases/klavemu.kdl			

19.02.2009 12:40:28	Unzureichende Rechte zum Ausführen einer Datei-Operation	C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Kaspersky Lab/AVP8/Bases/kavbase.kdl
         

Alt 19.02.2009, 13:32   #14
45cl3p1u5
Gast
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Hallo Marfi,

das hat nichts mit Dateirechten zu tun, sondern irgendwie ist Dein Lizenzschlüssel von Kaspersky beschädigt worden und Du hast deshalb keine Rechte mehr Updates zu machen.

Weiß leider nicht, wie man das behebt. Ich würde eine Deinstallation -> Installation versuchen.

Grüße
45cl3p1u5

Alt 19.02.2009, 22:30   #15
Marfi
 
Trojan-Dropper.SEH + Popup - Standard

Trojan-Dropper.SEH + Popup



Hallo 45cl3p1u5,

das Problem lag bei Kaspersky, jetzt ist alles wieder okay. Auf deren Server war was nicht in Ordnung. Ich habe im Support Forum duzende Einträge gefunden

Vielen Dank nochmal, es scheint jetzt alles bestens zu sein.


Gruß
Marfi

Antwort

Themen zu Trojan-Dropper.SEH + Popup
dateien, explorer, folge, forum, gelöscht, google, internet, internet explorer, lahm, links, löschen, neu, neustart, popup, popups, problem, seite, seiten, software, system, system32, trojan, virus, vorschläge, werbung



Ähnliche Themen: Trojan-Dropper.SEH + Popup


  1. Win7 Trojan.Agent/Gen-XDown & Trojan.Unclassified/Dropper
    Log-Analyse und Auswertung - 15.11.2015 (9)
  2. TR/ATRAPS.Gen und TR/Kazy durch Antivir gemeldet; ferner Trojan.Agent.MRGGen, Trojan.0Access, Trojan.Dropper.BCMiner
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (10)
  3. Trojan.Dropper & Trojan.FakeAlert & Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (17)
  4. 2x Rootkit0.Access, Trojan.Zaccess und zweimal Trojan.Dropper.PE4 in C:\Windows\Installer\
    Log-Analyse und Auswertung - 14.07.2012 (3)
  5. Spam mails vom computer? Trojan.sirefef, Trojan.dropper, trojan.small, etc.etc.
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (13)
  6. TR.Dropper.gen in C:\Users\Christina\AppData\Local\Temp, Trojan/Zaccess, Trojan.Agent, ...
    Log-Analyse und Auswertung - 19.06.2012 (29)
  7. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  8. TR/Dropper.Gen von Avira AntiVir und Trojan.Agent.CK sowie Trojan.Orsam von Malwarebytes erkannt
    Plagegeister aller Art und deren Bekämpfung - 03.12.2010 (1)
  9. Stark trojanerverseuchtes System! (Trojan Buzuss, Backdoor Trojan, Trojan Dropper,..)
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  10. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  11. unerwünschte pop ups -> (Adware Tracking Cookie,trojan agent,trojan dropper)
    Log-Analyse und Auswertung - 02.06.2010 (20)
  12. trojaner nicht löschbar (AVG u. Malwarebytes) (Trojan.Dropper / Trojan.SpamBot)
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (7)
  13. Trojan.Dropper & Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 16.03.2010 (23)
  14. Mehrere Trojaner Meldungen 'TR/Dldr.Agent.yla' [trojan] 'TR/Dropper.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.03.2009 (19)
  15. Trojan.DNSChangerCodec und Trojan.Dropper/Gen
    Plagegeister aller Art und deren Bekämpfung - 22.02.2009 (17)
  16. Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (23)
  17. Trojan.Banker.VB.0D9D0998 und Trojan-Dropper.Win32.Agent.wd
    Log-Analyse und Auswertung - 04.10.2005 (2)

Zum Thema Trojan-Dropper.SEH + Popup - Hallo Forum! Ich bin neu hier, mein Problem aber wahrscheinlich nicht. Ich versuche jetzt schon seit 4 Tagen einen lästigen Zeitgenossen loszuwerden. Ich habe schon jede Menge gegoogelt und noch - Trojan-Dropper.SEH + Popup...
Archiv
Du betrachtest: Trojan-Dropper.SEH + Popup auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.