C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

abArt · 31.05.2009, 11:00

Gefunden von Antivir:

APPL/BoontyGames:

C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

TR/Agent.331776.F:

C:\Windows.old\Program Files\PPMate\cache\85B1B5A7-19CD-4AF5-A8D6-8996A4B0E37F.exe

Code:

ATTFilter

Systeninfo:

Betriebssystemname	Microsoft® Windows Vista™ Home Premium
Version	6.0.6001 Service Pack 1 Build 6001
Zusätzliche Betriebssystembeschreibung 	Nicht verfügbar
Betriebssystemhersteller	Microsoft Corporation
Systemname	xxxxx
Systemhersteller	MSI
Systemmodell	MS-7369
Systemtyp	X86-basierter PC
Prozessor	AMD Athlon(tm) 64 X2 Dual Core Processor 6400+, 3183 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum	American Megatrends Inc. V2.9, 17.03.2009
SMBIOS-Version	2.5
Windows-Verzeichnis	C:\Windows
Systemverzeichnis	C:\Windows\system32
Startgerät	\Device\HarddiskVolume1
Gebietsschema	Deutschland
Hardwareabstraktionsebene	Version = "6.0.6001.18000"
Benutzername	xxx\xxx
Zeitzone	Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM)	4,00 GB
Gesamter realer Speicher	3,25 GB
Verfügbarer realer Speicher	1,62 GB
Gesamter virtueller Speicher	6,73 GB
Verfügbarer virtueller Speicher	4,96 GB
Größe der Auslagerungsdatei	3,54 GB
Auslagerungsdatei	C:\pagefile.sys


Malware:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2199
Windows 6.0.6001 Service Pack 1

31.05.2009 11:43:30
mbam-log-2009-05-31 (11-43-30).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 282979
Laufzeit: 1 hour(s), 51 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:44:03, on 31.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\xxx\Desktop\HiJackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 5803 bytes

Also, Antivir hat die beiden Sachen gefunden.
Mein Problem:
Zuerst hat sich eine externe WD160 verabschiedet, sie zeigte nur noch komische Zeichen an, sie war allerdings auch randvoll, konnte durch formatieren wieder hergestellt werden.

Dann hatte ich Raid Zugriffsfehler, daraufhin hab ich die 2 x 500 GB vom Raid auf IDE umgebaut und Vista neu installiert.

Dann hat sich die eine von den beiden Festplatten verabschiedet. Sie läuft, wird warm aber weder im bios noch unter Vista erkannt.

Zu dieser Zeit als sich die Platten verabschiedet haben, habe ich versucht Windows 7 zu installieren, was aber nicht ging.

Keine Ahnung ob das eine mit dem anderen zusammenhängt, bin eher der Hardwaremensch, nicht der Viren-Experte.

Die boonty.exe ist wohl von einem Download bei Gamesload. Hab mir da Gothic3 Götterdämmerung gekauft und Boonty heist der Vertrieb.

vielen Dank schon mal

abArt

NoodlesHB · 31.05.2009, 11:28

Zitat:

Gefunden von Antivir:

APPL/BoontyGames:

C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

Antivir mag Boonty nicht, ist aber nichts Böses. Wäre ja dumm von Gamesload, wenn sie Schadsoftware vertreiben.

Zitat:

TR/Agent.331776.F:

C:\Windows.old\Program Files\PPMate\cache\85B1B5A7-19CD-4AF5-A8D6-8996A4B0E37F.exe

Sollte wohl seit der Neuinstallation inaktiv sein und gelöscht werden. Damit die Datei nicht ausversehen doch mal gestartet wird. Die Schädigungen die es bis zu dem Zeitpunkt angerichtet haben kann... keine Ahnung. Festplattenzugriffe beherrscht der TR jedenfalls.

C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

Log-Analyse und Auswertung: C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

Ähnliche Themen: C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe