| |
| |||||||
Log-Analyse und Auswertung: AntiVir findet "TR/FraudPack.qgt"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
18.08.2009, 09:56
| #1 |
 |  AntiVir findet "TR/FraudPack.qgt" Hallo, hab seit einigen Tagen zwei fragwürdige Prozesse laufen (msa.exe & b.exe) AntiVir meldet mir einen fund in der msa.exe ( TR/FraudPack.qgt ). Hab hier leider noch nichts zu diesem Trojaner gefunden und bitte daher um Hilfe. LG Martin Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:48:11, on 18.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\explorer.exe C:\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe E:\Programme\Mozilla Firefox\firefox.exe c:\avira\antivir desktop\avcenter.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe E:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\Mcfly\LOKALE~1\Temp\b.exe O4 - HKCU\..\Run: [NordBull] C:\WINDOWS\msa.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = E:\Programme\Stardock\ObjectDock\ObjectDock.exe O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1250004694812 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1250005028687 O17 - HKLM\System\CCS\Services\Tcpip\..\{BC8601C2-C31C-49CE-9364-0FDD72884AEB}: NameServer = 217.0.43.97 217.0.43.113 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4841 bytes Es ist vielleicht noch hinzuzufügen das der Suchlauf von AniVir nach dem Fund dieses Trojaners dem völligen stillstand erliegt also nicht weitergeführt wird! Geändert von mcfly0783 (18.08.2009 um 10:05 Uhr) |
|
18.08.2009, 10:35
| #2 | ||
| /// Helfer-Team    | AntiVir findet "TR/FraudPack.qgt" Hallo und Herzlich Willkommen!
__________________ Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread 3. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 4. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 5. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
18.08.2009, 10:36
| #3 |
| | AntiVir findet "TR/FraudPack.qgt" Edit: War einer schneller :P
__________________ |
|
18.08.2009, 11:47
| #4 |
| | AntiVir findet "TR/FraudPack.qgt" Vielen Dank schonmal für die schnelle Hilfe hab jetzt mal alles durchlaufen lassen allerdings funktioniert RootRepeal nicht! Bekomme ein Fehlermeldung beim ausführen ("Attempt to read from address: 0x01167000") Hier die anderen Logfiles Code:
ATTFilter GMER 1.0.15.15077 [gej1n89s.exe] - http://www.gmer.net
Rootkit scan 2009-08-18 12:25:42
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xAA396040]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xAA392930]
SSDT F7A85766 ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xAA396510]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xAA39C870]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xAA39CAA0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xAA39FFD0]
SSDT F7A8575C ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xAA396600]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xAA392F20]
SSDT F7A8576B ZwDeleteKey
SSDT F7A85775 ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xAA39C580]
SSDT F7A8577A ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xAA392D70]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xAA39C350]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xAA39C150]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xAA39F250]
SSDT F7A85784 ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xAA395C00]
SSDT F7A8577F ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xAA396220]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xAA393120]
SSDT F7A85770 ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xAA39CCD0]
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [10, 65, 39, AA, 70, C8, 39, ...] {ADC [EBP+0x39], AH; STOSB ; JO 0xffffffffffffffce; CMP [EDX-0x55c63560], EBP}
? srescan.sys Das System kann die angegebene Datei nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [AA39ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [AA39B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [AA39B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [AA39AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [AA39AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [AA39ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [AA39B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [AA39B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [AA39ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [AA39AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [AA39B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [AA39B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [AA39B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [AA39B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [AA39ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [AA3A8330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [AA39AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [AA39ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [AA39B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [AA39B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [AA39B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [AA39B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [AA39AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [AA39ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [AA39ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [AA39AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [AA39B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [AA39B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [AA3935C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [AA393770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [AA3932D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [AA393670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter Adobe Flash Player 10 Plugin
Apple Mobile Device Support
Apple Software Update
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
BitTorrent
Bonjour
CCleaner (remove only)
Cross Demo 1.2.5
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Free YouTube to Mp3 Converter version 3.2
HijackThis 2.0.2
iTunes
Java(TM) 6 Update 15
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
MixVibes PRODUCER DEMO uninstall
Mozilla Firefox (3.5.2)
No23 Recorder
ObjectDock
PunkBuster Services
Quake Live Mozilla Plugin
QuickTime
Realtek AC'97 Audio
SiSAGP driver
Uninstall 1.0.0.1
Winamp
Windows XP Service Pack 3
WinRAR
ZoneAlarm
Gibt es eine alternative zu Rootrepeal oder eine ander ausführungsmöglichkeit? lg mcfly |
|
18.08.2009, 11:48
| #5 |
| | AntiVir findet "TR/FraudPack.qgt" Filelist: Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C49-8250
Verzeichnis von C:\
18.08.2009 12:33 43 filelist.txt
11.08.2009 20:26 251.712 ntldr
11.08.2009 17:15 0 CONFIG.SYS
11.08.2009 17:15 0 MSDOS.SYS
11.08.2009 17:15 0 IO.SYS
11.08.2009 17:15 0 AUTOEXEC.BAT
11.08.2009 17:07 211 boot.ini
9 Datei(en) 304.482 Bytes
0 Verzeichnis(se), 7.571.910.656 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C49-8250
Verzeichnis von C:\WINDOWS
18.08.2009 11:00 32.340 SchedLgU.Txt
18.08.2009 10:59 1.647.904 WindowsUpdate.log
18.08.2009 10:58 1.177 ie7_main.log
18.08.2009 10:36 2.048 bootstat.dat
16.08.2009 04:00 363.850 setupapi.log
14.08.2009 23:14 148.480 msa.exe
14.08.2009 18:01 412.680 iis6.log
14.08.2009 18:01 73.566 ntdtcsetup.log
14.08.2009 18:01 121.901 comsetup.log
14.08.2009 18:01 17.311 tabletoc.log
14.08.2009 18:01 19.233 ocmsn.log
14.08.2009 18:01 160.205 tsoc.log
14.08.2009 18:01 1.374 imsins.log
14.08.2009 18:01 4.599 KB961118.log
14.08.2009 18:01 61.171 netfxocm.log
14.08.2009 18:01 26.134 MedCtrOC.log
14.08.2009 18:01 184.624 ocgen.log
14.08.2009 18:01 17.346 msgsocm.log
14.08.2009 18:01 338.396 FaxSetup.log
14.08.2009 18:01 112.854 msmqinst.log
14.08.2009 10:50 73.158 spupdsvc.log
14.08.2009 10:36 1.755 ie8_main.log
13.08.2009 18:00 1.374 imsins.BAK
13.08.2009 18:00 6.573 KB941569.log
12.08.2009 18:07 25.470 KB951376-v2.log
12.08.2009 18:07 33.995 KB952954.log
12.08.2009 18:07 96.109 updspapi.log
12.08.2009 18:07 33.526 KB959426.log
12.08.2009 18:07 24.573 KB946648.log
12.08.2009 18:06 24.656 KB956803.log
12.08.2009 18:06 32.029 KB960859.log
12.08.2009 18:06 46.297 KB955839.log
12.08.2009 18:06 33.611 KB951978.log
12.08.2009 18:06 32.444 KB961371-v2.log
12.08.2009 18:06 33.314 KB972260.log
12.08.2009 18:05 31.012 KB950974.log
12.08.2009 18:05 29.248 KB971657.log
12.08.2009 18:05 29.146 KB971557.log
12.08.2009 18:05 30.034 KB960225.log
12.08.2009 18:05 22.177 KB956744.log
12.08.2009 18:05 21.549 KB973346.log
12.08.2009 18:04 24.918 KB956572.log
12.08.2009 18:04 26.414 KB961501.log
12.08.2009 18:04 15.473 KB938464-v2.log
12.08.2009 18:04 25.517 KB971633.log
12.08.2009 18:04 17.855 KB973869.log
12.08.2009 18:04 27.110 KB952004.log
12.08.2009 18:03 24.499 KB973507.log
12.08.2009 18:03 16.249 KB950762.log
12.08.2009 18:03 16.316 KB957097.log
12.08.2009 18:03 16.239 KB958687.log
12.08.2009 18:03 15.936 KB952287.log
12.08.2009 18:03 15.918 KB973354.log
12.08.2009 18:03 24.409 KB967715.log
12.08.2009 18:02 15.000 KB973540.log
12.08.2009 18:02 18.655 wmsetup.log
12.08.2009 18:02 15.504 KB951066.log
12.08.2009 18:02 22.609 KB954459.log
12.08.2009 18:02 18.616 KB952069.log
12.08.2009 18:02 23.974 KB951748.log
12.08.2009 18:02 21.883 KB970238.log
12.08.2009 18:01 21.372 KB960803.log
12.08.2009 18:01 20.668 KB973815.log
12.08.2009 18:01 20.697 KB968537.log
12.08.2009 18:01 13.677 KB954600.log
12.08.2009 18:01 13.989 KB958644.log
12.08.2009 18:01 13.484 KB955069.log
12.08.2009 18:01 19.471 KB956802.log
12.08.2009 18:00 13.099 KB923561.log
12.08.2009 18:00 19.859 KB968389.log
12.08.2009 11:43 122 APSetup.log
12.08.2009 11:31 316.640 WMSysPr9.prx
12.08.2009 09:51 9.154 KB898461.log
12.08.2009 01:13 169 RtlRack.ini
11.08.2009 21:42 359 DtcInstall.log
11.08.2009 21:41 1.174 OEWABLog.txt
11.08.2009 21:41 187 spupdsvc.log.1.log
11.08.2009 21:39 831.917 setuplog.txt
11.08.2009 21:37 491.892 svcpack.log
11.08.2009 20:35 373 cmsetacl.log
11.08.2009 20:35 1.334 sessmgr.setup.log
11.08.2009 17:56 0 0.log
11.08.2009 17:38 0 nsreg.dat
11.08.2009 17:23 509 wiadebug.log
11.08.2009 17:23 50 wiaservc.log
11.08.2009 17:23 0 Sti_Trace.log
11.08.2009 17:20 1.348 regopt.log
11.08.2009 17:20 231 system.ini
11.08.2009 17:19 8.192 REGLOCS.OLD
11.08.2009 17:18 0 setuperr.log
11.08.2009 17:18 180.720 setupact.log
11.08.2009 17:15 0 control.ini
11.08.2009 17:15 477 win.ini
11.08.2009 17:15 4.161 ODBCINST.INI
11.08.2009 17:14 749 WindowsShell.Manifest
11.08.2009 17:10 36 vb.ini
11.08.2009 17:10 37 vbaddin.ini
129 Datei(en) 12.809.691 Bytes
0 Verzeichnis(se), 7.571.902.464 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C49-8250
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 7.571.898.368 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C49-8250
Verzeichnis von C:\WINDOWS\system32
18.08.2009 12:31 358.382 vsconfig.xml
18.08.2009 10:36 13.680 wpa.dbl
15.08.2009 18:03 432.356 perfh009.dat
15.08.2009 18:03 448.470 perfh007.dat
15.08.2009 18:03 67.312 perfc009.dat
15.08.2009 18:03 79.910 perfc007.dat
15.08.2009 18:03 996.254 PerfStringBackup.INI
14.08.2009 10:48 95.072 FNTCACHE.DAT
12.08.2009 18:06 211.660 TZLog.log
12.08.2009 17:55 111.928 PnkBstrB.exe
12.08.2009 17:54 75.064 PnkBstrA.exe
12.08.2009 17:54 2.373.712 pbsvc.exe
12.08.2009 12:33 149.280 javaws.exe
12.08.2009 12:33 145.184 javaw.exe
12.08.2009 12:33 73.728 javacpl.cpl
12.08.2009 12:33 145.184 java.exe
12.08.2009 12:33 411.368 deploytk.dll
11.08.2009 21:40 253 spupdwxp.log
11.08.2009 18:07 0 h323log.txt
11.08.2009 18:00 13.680 wpa.bak
11.08.2009 17:47 4.212 zllictbl.dat
11.08.2009 17:18 261 $winnt$.inf
11.08.2009 17:15 2.951 CONFIG.NT
11.08.2009 17:15 16.832 amcompat.tlb
11.08.2009 17:15 23.392 nscompat.tlb
11.08.2009 17:14 488 WindowsLogon.manifest
11.08.2009 17:14 488 logonui.exe.manifest
11.08.2009 17:14 749 sapi.cpl.manifest
11.08.2009 17:14 749 cdplayer.exe.manifest
11.08.2009 17:14 749 wuaucpl.cpl.manifest
11.08.2009 17:14 749 ncpa.cpl.manifest
11.08.2009 17:14 749 nwc.cpl.manifest
11.08.2009 17:10 21.740 emptyregdb.dat
05.08.2009 10:59 206.336 mswebdvd.dll
29.07.2009 17:49 24.281.536 MRT.exe
29.07.2009 06:34 81.920 fontsub.dll
29.07.2009 06:34 119.808 t2embed.dll
18.07.2009 18:03 1.509.888 shdocvw.dll
18.07.2009 18:03 3.090.432 mshtml.dll
17.07.2009 21:01 58.880 atl.dll
12.07.2009 12:21 4.874.240 wmp.dll
12.07.2009 12:21 233.472 wmpdxm.dll
26.06.2009 18:49 672.256 wininet.dll
26.06.2009 18:49 621.056 urlmon.dll
26.06.2009 18:49 81.920 ieencode.dll
26.06.2009 18:36 371.200 html.iec
25.06.2009 10:25 737.792 lsasrv.dll
25.06.2009 10:25 56.832 secur32.dll
25.06.2009 10:25 54.272 wdigest.dll
25.06.2009 10:25 136.192 msv1_0.dll
25.06.2009 10:25 147.456 schannel.dll
25.06.2009 10:25 301.568 kerberos.dll
15.06.2009 12:43 78.848 telnet.exe
15.06.2009 12:43 82.944 tlntsess.exe
10.06.2009 16:13 85.504 avifil32.dll
10.06.2009 09:19 2.066.432 mstscax.dll
10.06.2009 08:14 132.096 wkssvc.dll
03.06.2009 21:09 1.296.896 quartz.dll
26.05.2009 17:18 57.344 QuickTime.qts
26.05.2009 17:18 90.112 QuickTimeVR.qtx
07.05.2009 17:32 348.160 localspl.dll
01.05.2009 23:03 118.520 pxinsi64.exe
01.05.2009 23:03 120.056 pxcpyi64.exe
01.05.2009 23:02 90.112 dpl100.dll
01.05.2009 23:02 811.008 divx_xx16.dll
01.05.2009 23:02 823.296 divx_xx07.dll
01.05.2009 23:02 685.056 DivX.dll
01.05.2009 23:02 802.816 divx_xx11.dll
01.05.2009 23:02 823.296 divx_xx0c.dll
01.05.2009 23:02 815.104 divx_xx0a.dll
28.04.2009 22:20 96.752 vxblock.dll
28.04.2009 22:20 66.544 pxcpya64.exe
28.04.2009 22:20 551.408 pxdrv.dll
28.04.2009 22:20 72.176 pxhpinst.exe
28.04.2009 22:20 219.632 pxmas.dll
28.04.2009 22:20 66.032 pxinsa64.exe
28.04.2009 22:20 670.192 px.dll
28.04.2009 22:20 129.520 pxafs.dll
28.04.2009 22:20 436.720 pxwave.dll
28.04.2009 22:20 1.858.032 pxsfs.dll
19.04.2009 21:46 1.847.296 win32k.sys
15.04.2009 16:51 585.216 rpcrt4.dll
21.03.2009 16:06 1.063.424 kernel32.dll
06.03.2009 16:19 286.720 pdh.dll
10.02.2009 19:03 2.068.352 ntkrnlpa.exe
09.02.2009 13:21 2.191.360 ntoskrnl.exe
09.02.2009 13:21 111.104 services.exe
09.02.2009 12:51 401.408 rpcss.dll
09.02.2009 12:51 678.400 advapi32.dll
09.02.2009 12:51 740.352 ntdll.dll
06.02.2009 12:39 35.328 sc.exe
1986 Datei(en) 424.270.491 Bytes
0 Verzeichnis(se), 7.571.714.048 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C49-8250
Verzeichnis von C:\WINDOWS\Prefetch
15.08.2009 02:26 153.210 Layout.ini
14.08.2009 16:43 16.370 LOGONUI.EXE-0AF22957.pf
14.08.2009 16:43 18.472 VERCLSID.EXE-3667BD89.pf
14.08.2009 16:42 23.802 RASAUTOU.EXE-18B88A68.pf
14.08.2009 16:41 8.218 JQSNOTIFY.EXE-1E60A522.pf
14.08.2009 16:41 76.452 FIREFOX.EXE-28BE8AE1.pf
14.08.2009 16:39 107.880 CLI.EXE-02B0DB56.pf
14.08.2009 16:39 33.456 WMIPRVSE.EXE-28F301A9.pf
14.08.2009 16:38 36.530 OBJECTDOCK.EXE-14155D1F.pf
14.08.2009 16:38 14.206 CTFMON.EXE-0E17969B.pf
14.08.2009 16:38 10.286 JUSCHED.EXE-336229D9.pf
14.08.2009 16:38 12.358 ITUNESHELPER.EXE-1CC2818B.pf
14.08.2009 16:38 10.720 SOUNDMAN.EXE-19745A34.pf
14.08.2009 16:38 63.196 AVGNT.EXE-1EFD6181.pf
14.08.2009 16:38 6.452 CLISTART.EXE-1EE1D5BF.pf
14.08.2009 16:38 59.180 EXPLORER.EXE-082F38A9.pf
14.08.2009 16:38 13.858 USERINIT.EXE-30B18140.pf
14.08.2009 16:38 17.638 ATI2EVXX.EXE-19D16EB9.pf
14.08.2009 16:38 34.100 AVWSC.EXE-0396879C.pf
14.08.2009 16:38 8.104 QTTASK.EXE-2D7EEF34.pf
14.08.2009 16:38 19.162 WGASETUP.EXE-060A30C0.pf
14.08.2009 16:38 37.508 ZLCLIENT.EXE-0120F620.pf
14.08.2009 16:38 14.282 TASKMGR.EXE-20256C55.pf
14.08.2009 16:35 92.380 MSCORSVW.EXE-1BF30400.pf
12.08.2009 11:50 47.014 WINAMP.EXE-065B55C4.pf
12.08.2009 11:48 21.758 WUAUCLT.EXE-399A8E72.pf
12.08.2009 11:48 654.182 NTOSBOOT-B00DFAAD.pf
11.08.2009 21:41 4.546 SPUPDWXP.EXE-3B384931.pf
11.08.2009 21:41 9.490 MEDCTRRO.EXE-1E02D069.pf
11.08.2009 21:41 15.036 REGSVR32.EXE-25EEFE2F.pf
30 Datei(en) 1.639.846 Bytes
0 Verzeichnis(se), 7.571.800.064 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C49-8250
Verzeichnis von C:\WINDOWS\tasks
18.08.2009 12:00 278 {BB65B0FB-5712-401b-B616-E69AC55E2757}.job
18.08.2009 12:00 240 {7B02EF0B-A410-4938-8480-9BA26420A627}.job
18.08.2009 10:36 258 WGASetup.job
18.08.2009 10:36 6 SA.DAT
16.08.2009 08:23 438 Driver Robot.job
6 Datei(en) 1.285 Bytes
0 Verzeichnis(se), 7.571.800.064 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C49-8250
Verzeichnis von C:\WINDOWS\Temp
18.08.2009 12:31 256 ZLT0763e.TMP
18.08.2009 12:31 256 ZLT07453.TMP
18.08.2009 10:37 16.384 Perflib_Perfdata_2c4.dat
15.08.2009 18:04 4.374 dd_wcf_retCA42A9.txt
15.08.2009 18:03 5.158 ASPNETSetup_00000.log
12.08.2009 19:36 16.384 Perflib_Perfdata_80.dat
12.08.2009 19:34 256 ZLT063a5.TMP
12.08.2009 19:34 256 ZLT063a2.TMP
12.08.2009 18:02 25.184 dd_ATL90SP1_KB973924UI1C95.txt
12.08.2009 18:02 235.308 dd_ATL90SP1_KB973924MSI1C95.txt
12.08.2009 12:08 256 ZLT064b1.TMP
12.08.2009 12:08 256 ZLT00de9.TMP
12.08.2009 11:45 256 ZLT027ac.TMP
12.08.2009 11:45 256 ZLT07ca9.TMP
11.08.2009 21:39 256 ZLT07518.TMP
11.08.2009 21:39 256 ZLT0750b.TMP
11.08.2009 17:55 256 ZLT0496f.TMP
11.08.2009 17:55 256 ZLT04969.TMP
62 Datei(en) 37.410.827 Bytes
0 Verzeichnis(se), 7.571.795.968 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C49-8250
Verzeichnis von C:\DOKUME~1\Mcfly\LOKALE~1\Temp
15.08.2009 13:51 680 MSI43eac.LOG
14.08.2009 23:14 148.480 c.exe
14.08.2009 23:14 142.848 b.exe
14.08.2009 23:14 270.852 a.exe
14.08.2009 20:39 18.604.032 francobiancoanimatek_planchetelateraloriginalmix_dilekrecor.mp3
14.08.2009 17:47 4.403 java_install_reg.log
14.08.2009 10:55 139 dw.log
14.08.2009 10:46 447.470 Microsoft .NET Framework 2.0-KB958481_20090814_084417578.html
14.08.2009 10:46 9.101.886 Microsoft .NET Framework 2.0-KB958481_20090814_084417578-Msi0.txt
14.08.2009 10:44 248.112 dd_dotnetfx35install.txt
14.08.2009 10:44 11.240 uxeventlog.txt
14.08.2009 10:44 1.443.896 dd_NET_Framework35_MSI6907.txt
14.08.2009 10:43 3.210.402 dd_NET_Framework30_Setup6802.txt
14.08.2009 10:42 4.509 dd_wcf_retCA1CB3.txt
14.08.2009 10:41 204.916 dd_depcheck_NETFX_EXP_35.txt
14.08.2009 10:41 9.551 dd_XPS.txt
14.08.2009 10:41 10.055.732 dd_NET_Framework20_Setup6469.txt
14.08.2009 10:40 5.158 ASPNETSetup_00001.log
14.08.2009 10:37 134.504 dd_RGB9RAST_x86.msi6452.txt
14.08.2009 10:37 7.944 dd_clwireg.txt
14.08.2009 10:36 2 dd_dotnetfx35error.txt
13.08.2009 21:13 7.002.016 fla25.tmp
13.08.2009 21:13 7.273.998 fla24.tmp
13.08.2009 21:05 47.086.240 fla14.tmp
13.08.2009 21:00 27.852.064 flaE.tmp
13.08.2009 20:56 0 etilqs_dcWk7MmCiXGwYqaIIXIw
13.08.2009 15:07 4.385 jusched.log
12.08.2009 18:53 9.934 repconfig.cfg-2.txt
12.08.2009 18:51 9.934 repconfig.cfg-1.txt
12.08.2009 18:51 0 repconfig.cfg.txt
12.08.2009 12:33 1.174 MSI62c59.LOG
12.08.2009 12:33 26.948 java_install.log
12.08.2009 12:32 1.114 java_install_sp.log
12.08.2009 12:32 1.852.928 162c55.mst
12.08.2009 12:31 2.871.324 SetupAdminE80.log
12.08.2009 12:31 2.025 QTInstallCode.log
12.08.2009 12:31 3.884 qtplugin.log
12.08.2009 12:31 934 jinstall.cfg
12.08.2009 11:50 383.804 WT3.tmp
12.08.2009 11:50 367.112 WT2.tmp
12.08.2009 11:32 383.804 WT175.tmp
12.08.2009 11:32 367.112 WT174.tmp
12.08.2009 11:32 0 Winamp.tmp
11.08.2009 19:28 21.298.272 fla353.tmp
11.08.2009 19:24 19.135.008 fla34D.tmp
11.08.2009 19:22 14.680.064 fla34A.tmp
11.08.2009 19:21 26.083.232 fla348.tmp
11.08.2009 19:21 83.894.211 fla346.tmp
11.08.2009 18:59 1.925.560 FP_PL_PFS_INSTALLER.exe
11.08.2009 18:49 16.148 dd_netfx20UI6CF0.txt
11.08.2009 18:47 5.072.606 dd_netfx20MSI6CF0.txt
11.08.2009 18:45 4.562 ASPNETSetup_00000.log
11.08.2009 17:59 16.384 ~DFF224.tmp
11.08.2009 17:35 11.458 dd_vcredistUI39BC.txt
11.08.2009 17:35 509.640 dd_vcredistMSI39BC.txt
56 Datei(en) 312.262.291 Bytes
0 Verzeichnis(se), 7.571.791.872 Bytes frei
|
|
18.08.2009, 12:56
| #6 |
| | AntiVir findet "TR/FraudPack.qgt" Zu der Filelist ist hinzuzufügen das ich meinen rechner vor etwa einer woche neu aufgesetzt habe. Es sind einträge von vor 3 jahren vorhanden aber von den letzten sechs monaten nicht wirklich viele. mfg mcfly |
|
19.08.2009, 16:19
| #7 |
| | AntiVir findet "TR/FraudPack.qgt" Hallo nochmal, könnte sich vielleicht jemand die logfiles anschauen und mir helfen bin ziemlich aufgeschmissen...danke schonmal lg mcfly |
|
| Themen zu AntiVir findet "TR/FraudPack.qgt" |
| .dll, antivir, antivir guard, avira, bho, bonjour, desktop, explorer, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, jusched.exe, monitor, mozilla, mp3, plug-in, programme, prozesse, rojaner gefunden, suchlauf, system, temp, trojaner, trojaner gefunden, windows, windows xp |
Hybrid-Darstellung
