Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Malware... :( Bitte logs checken...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.09.2009, 11:45   #1
oxymi12
 
Malware... :( Bitte logs checken... - Standard

Malware... :( Bitte logs checken...



Hallo zusammen,

nachdem gestern mein Firefox abstürzte und es sich nicht mehr öffnen ließ, habe ich Malwarebytes drüberlaufen lassen (mit insgesamt 8 Funden)
Hier das gestrige Ergebnis:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2831
Windows 5.1.2600 Service Pack 2

20.09.2009 23:06:16
mbam-log-2009-09-20 (23-05-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 188412
Laufzeit: 1 hour(s), 36 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\sgwicog (Trojan.Agent.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Adobe\mmplayer .exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> No action taken.


Nun habe ich die Anweisungen des Forums hier befolgt und habe CCleaner, erneut Malwarebytes und RSIT durchgeführt und brauche nun eure Hilfe: Mir sagt das alles leider gar nichts, und bin somit für jeden Tipp dankbar!!

Hier die Ergebnisse von heute:

Log-file Malwarebytes:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2831
Windows 5.1.2600 Service Pack 2

21.09.2009 12:20:15
mbam-log-2009-09-21 (12-20-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 177981
Laufzeit: 1 hour(s), 41 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Und hier die RSIT-Infos:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Maria at 2009-09-21 12:28:16
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 36 GB (59%) free of 60 GB
Total RAM: 382 MB (14% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:31, on 21.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\RSIT.exe
C:\Dokumente und Einstellungen\*****\Desktop\*****.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S1C9.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9dd79b6c4ddca) (gupdate1c9dd79b6c4ddca) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 9353 bytes

Alt 21.09.2009, 11:47   #2
oxymi12
 
Malware... :( Bitte logs checken... - Standard

Malware... :( Bitte logs checken...



... FORTSETZUNG....



======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-04-16 1088296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-08-26 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-08-26 761840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-08-26 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-08-26 256112]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0\bin\jusched.exe [2008-11-23 36972]
"AVMWlanClient"=C:\Programme\avmwlanstick\wlangui.exe [2006-12-28 1454080]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-03-24 77824]
"LaunchAp"=C:\Programme\Launch Manager\LaunchAp.exe [2005-03-30 32768]
"HotkeyApp"=C:\Programme\Launch Manager\HotkeyApp.exe [2005-05-02 57344]
"LMgrVolOSD"=C:\Programme\Launch Manager\OSD.exe [2005-03-16 204800]
"LMgrOSD"=C:\Programme\Launch Manager\OSDCtrl.exe [2004-10-11 245760]
"Wbutton"=C:\Programme\Launch Manager\Wbutton.exe [2005-04-18 81920]
"CtrlVol"=C:\Programme\Launch Manager\CtrlVol.exe [2003-09-16 20480]
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-04-05 339968]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"Sony Ericsson PC Suite"=C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2007-03-28 593920]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"LogitechCommunicationsManager"=C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe [2006-12-22 497176]
"LogitechQuickCamRibbon"=C:\Programme\Logitech\QuickCam10\QuickCam10.exe [2006-12-22 756248]
" Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-12-01 68856]
"EPSON Stylus DX5000 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE [2006-09-22 139264]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
VPN Client.lnk - C:\WINDOWS\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico

C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-04-05 46080]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\fsetup.exe"="D:\fsetup.exe:*:Enabled:AVM FSetup Application"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE"="C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE"="C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\Programme\Soulseek-Test\slsk.exe"="C:\Programme\Soulseek-Test\slsk.exe:*:Enabled:SoulSeek"
"C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c517da1-26b6-11de-85a1-0002e349717a}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bc8a10a-b955-11dd-8468-000ae4b2da91}]
shell\AutoRun\command - E:\pushinst.exe


======List of files/folders created in the last 1 months======

2009-09-21 12:28:16 ----D---- C:\rsit
2009-09-21 10:04:21 ----D---- C:\Programme\CCleaner
2009-09-20 21:26:58 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2009-09-20 21:26:45 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-20 21:26:44 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-10 08:31:59 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-09-10 08:31:07 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-10 08:30:33 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$
2009-08-29 11:06:11 ----D---- C:\Programme\ScaleTrans
2009-08-27 08:52:58 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$

======List of files/folders modified in the last 1 months======

2009-09-21 12:28:06 ----D---- C:\WINDOWS\Prefetch
2009-09-21 11:42:01 ----D---- C:\WINDOWS\Temp
2009-09-21 10:34:37 ----D---- C:\WINDOWS\Debug
2009-09-21 10:34:37 ----D---- C:\WINDOWS
2009-09-21 10:22:50 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-09-21 10:04:21 ----RD---- C:\Programme
2009-09-20 23:08:38 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Adobe
2009-09-20 23:06:20 ----D---- C:\WINDOWS\system32
2009-09-20 21:26:50 ----D---- C:\WINDOWS\system32\drivers
2009-09-20 21:16:04 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-20 21:15:39 ----D---- C:\Programme\Mozilla Firefox
2009-09-20 10:29:43 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Skype
2009-09-20 10:09:37 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\skypePM
2009-09-17 20:36:36 ----D---- C:\Programme\DivX
2009-09-17 20:36:25 ----SHD---- C:\WINDOWS\Installer
2009-09-16 17:44:03 ----HD---- C:\WINDOWS\inf
2009-09-16 00:33:49 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\U3
2009-09-10 09:42:29 ----D---- C:\Programme\Advanced Text2Gif
2009-09-10 08:32:01 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-10 08:31:53 ----HD---- C:\WINDOWS\$hf_mig$
2009-09-07 22:11:39 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-02 09:07:37 ----D---- C:\WINDOWS\Microsoft.NET
2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe
2009-08-28 14:49:02 ----SD---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft
2009-08-25 12:48:45 ----D---- C:\Programme\SPSSEV-DE
2009-08-25 12:48:43 ----A---- C:\WINDOWS\system32\lsprst7.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-27 75096]
R1 Hotkey;Hotkey; C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2004-08-04 8832]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-03-25 2314560]
R3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2005-05-05 463168]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-04-05 1035776]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2008-03-29 125328]
R3 HSF_DP;HSF_DP; C:\WINDOWS\system32\DRIVERS\HSF_DP.sys [2004-12-15 1038208]
R3 HSFHWATI;HSFHWATI; C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-12-15 200192]
R3 LVPr2Mon;Logitech LVPr2Mon Driver; C:\WINDOWS\system32\DRIVERS\LVPr2Mon.sys [2006-12-22 25632]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 RTL8023xp;Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2004-12-02 70912]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-02-16 146304]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-04 17024]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2004-12-15 703232]
S1 mailKmd;mailKmd; C:\WINDOWS\system32\drivers\mailKmd.sys []
S1 Wbutton;Wbutton; C:\WINDOWS\system32\drivers\Wbutton.sys []
S1 wceusbsh;Serieller Hosttreiber für Windows CE USB; C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2004-08-04 32000]
S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 4352]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 LVcKap;Logitech AEC Driver; C:\WINDOWS\system32\DRIVERS\LVcKap.sys [2006-12-22 1683232]
S3 LVMVDrv;Logitech Machine Vision Engine Loader; C:\WINDOWS\system32\DRIVERS\LVMVDrv.sys [2006-12-22 1963680]
S3 LVUSBSta;Logitech USB Monitor Filter; C:\WINDOWS\system32\drivers\lvusbsta.sys [2006-12-14 41248]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 pepifilter;Volume Adapter; C:\WINDOWS\system32\DRIVERS\lv302af.sys [2006-12-14 14240]
S3 PID_PEPI;Logitech QuickCam IM(PID_PEPI); C:\WINDOWS\system32\DRIVERS\LV302V32.SYS [2006-12-14 936864]
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 se59bus;Sony Ericsson Device 089 driver (WDM); C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 61536]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 9360]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 97088]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 86432]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-04-05 364544]
R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-11-21 81920]
R2 AVM WLAN Connection Service;AVM WLAN Connection Service; C:\Programme\avmwlanstick\WlanNetService.exe [2006-12-28 356352]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2008-08-29 1528608]
R2 LVPrcSrv;Process Monitor; c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe [2006-12-22 109344]
R2 MSSQL$SQLEXPRESS;SQL Server (SQLEXPRESS); c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2005-10-14 28768528]
S2 gupdate1c9dd79b6c4ddca;Google Update Service (gupdate1c9dd79b6c4ddca); C:\Programme\Google\Update\GoogleUpdate.exe [2009-05-25 133104]
S2 LVSrvLauncher;LVSrvLauncher; C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe [2006-12-22 105248]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-11-21 315392]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-05-03 654848]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SQLWriter;SQL Server VSS Writer; c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [2005-10-14 87768]
S4 MSSQLServerADHelper;SQL Server Active Directory Helper; c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 SQLBrowser;SQL Server Browser; c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2005-10-14 239320]

-----------------EOF-----------------


Kann mir jemand sagen, ob ich ums Formatieren drumrumkommen kann?? wäre total dankbar für eure Hilfe!

Viele Grüße
__________________


Alt 21.09.2009, 16:11   #3
Donthackme
 

Malware... :( Bitte logs checken... - Standard

Malware... :( Bitte logs checken...



Zitat:
Kann mir jemand sagen, ob ich ums Formatieren drumrumkommen kann?? wäre total dankbar für eure Hilfe!
Hallo und

Malwarebytes Anti Malware hat die Infektionen nicht gelöscht (no action taken) Warum? Hast du die Bereinigung verhindert? Mache in diesem Fall einen neuen Scan mit dem Scanner und lasse ihn gefundene Objekte in die Quarantäne stellen. Klar ist: Solche Funde bedeuten, dass deine PC Identität (persönlich Daten, Passwörter etc) nicht mehr sicher sind. Ausserdem hat das Programm eine Security Hijack von der Datei usernit.exe gemeldet, was bedeuten kann, dass deine Sicherheits- und Benutzereinstellungen geändert worden sind.

Bei der Auswertung deiner logs fällt mir einiges auf.
Das sieht alles sehr nach Malware aus.

Checke diese Dateien bei VIRUS TOTAL
VirusTotal - Kostenloser online Viren- und Malwarescanner
Teile mir die Ergebnisse mit.

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE

O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE /FU "C:\WINDOWS\TEMP\E_S1C9.tmp" /EF "HKCU"

C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
Das gefällt mir nicht. möglichweise ist deine Run.DLL32. exe korrupt.

S1 mailKmd;mailKmd; C:\WINDOWS\system32\drivers\mailKmd.sys []


C:\Dokumente und Einstellungen\*****\Desktop\*****.exe
Was ist das??

Ich würde dir zu einer Neuaufsetzung raten.

Solltest du eine Säuberung versuchen wollen, geschieht das auf eigenes Risiko! Befolge dann bitte diese Schritte:

Erster Schritt:


- Lade dir CCleaner runter und führe ihn nach der Anleitung aus
- Mache eine Datenträgerbereinigung
Du findest das Windows Programm unter: Programme/Zubehör/Systemprogramme
- Lade dir Avira Antirootkit runter
Avira AntiRootkit Tool - Download @ NETZWELT.de
- Lade dir SUPERAntiSpyware herunter und update es
- Lade dir SDfix von hier runter:
SDFix
und führe es aus, richte dich dabei streng nach der vorgegebenen Anleitung!

Zweiter Schritt:

- Trenne deinen Computer vom Internet/Netz
- Reboote deinen Computer und mache einen Scan mit Avira Anti Rootkit, Superantispyware, Malwarebytes und deinem Antivir mit agressiven Einstellungen:
http://www.trojaner-board.de/54192-a...tellungen.html
LAsse die Scanner ihre Arbeit verrichten und gefundene Malware "deleten" oder in Quarantäne verschieben!
Bitte logs posten.

Der dritte Schritt folgt nach dem zweiten!

Viel Glück!
__________________
__________________

Geändert von Donthackme (21.09.2009 um 16:28 Uhr)

Alt 21.09.2009, 16:47   #4
oxymi12
 
Malware... :( Bitte logs checken... - Standard

Malware... :( Bitte logs checken...



@ Donthackme: Danke für deine Antwort!!!

Zitat:
Zitat von Donthackme Beitrag anzeigen
Malwarebytes Anti Malware hat die Infektionen nicht gelöscht (no action taken) Warum? Hast du die Bereinigung verhindert?
nein, ich hatte es nicht verhindert, aber es hatte die Dateien in die Quarantäne verschoben. Dann hatte ich sie im Nachgang manuell gelöscht...


Hmm... oh nein, das klingt alles nicht so gut, aber hatte es schon erwartet... denke, ich werde das System neu aufsetzen... ist zwar ärgerlich, aber wird die sicherere Variante sein...
habe die Dateien, die du mir genannt hattest, von VirusTotal scannen lassen... hier die Ergebnisse (ich teile es mal in mehrere Beiträge auf, damit das Zeichenkontingent ausreicht...):

Datei E_FATIBVE.EXE empfangen 2009.09.21 15:19:05 (UTC)
Status: Beendet
Ergebnis: 0/41 (0%)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.21 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.21 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.21 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2392 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.21 -
eTrust-Vet 31.6.6750 2009.09.21 -
F-Prot 4.5.1.85 2009.09.21 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.850 2009.09.21 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.21 -
Microsoft 1.5005 2009.09.21 -
NOD32 4443 2009.09.21 -
Norman 6.01.09 2009.09.21 -
nProtect 2009.1.8.0 2009.09.21 -
Panda 10.0.2.2 2009.09.21 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.04.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1945 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.21 -
weitere Informationen
File size: 139264 bytes
MD5...: 3be50e7b78494145987b66271cddcc98
SHA1..: 5c5dab27d37b3910dbed8880fb3494b291e48131
SHA256: 674c7aa1416bd1cced2acb8b99fed25a8960aae520c6fc6e090d4826f4280a19
ssdeep: 3072:TnlvQmHcMbtpJbmSw4P7TRMWQONFhG6/VlT1RR:TnlvQmHdvESwITexOH/z
1R
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10ecb
timedatestamp.....: 0x45134aa3 (Fri Sep 22 02:29:55 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18b4b 0x19000 6.47 26e6027de11acdbb104268eaf606f733
.rdata 0x1a000 0x461c 0x5000 4.72 9d7b3b9c000829083fee1959e45d4493
.data 0x1f000 0x26c8 0x1000 1.73 6cf780dc18cb6ffa599b320f01956082
.rsrc 0x22000 0x17c0 0x2000 2.58 f5815dd6c20e984fad4c1e9c4015f530

( 6 imports )
> KERNEL32.dll: lstrcmpiW, FreeLibrary, GetProcAddress, LoadLibraryA, InterlockedDecrement, InterlockedIncrement, OutputDebugStringA, lstrlenW, OutputDebugStringW, Sleep, CreateProcessA, FindFirstFileW, LoadLibraryW, HeapSize, GetPrivateProfileStringW, SetEndOfFile, SetFilePointer, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, FlushFileBuffers, SetStdHandle, IsBadCodePtr, IsBadReadPtr, InterlockedExchange, InitializeCriticalSection, IsBadWritePtr, HeapReAlloc, GetSystemTimeAsFileTime, QueryPerformanceCounter, OpenFile, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetModuleFileNameA, GetStdHandle, GetCurrentProcess, TerminateProcess, GetOEMCP, GetACP, GetCPInfo, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, SetUnhandledExceptionFilter, TlsGetValue, TlsSetValue, TlsFree, GetCurrentThreadId, SetLastError, TlsAlloc, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, ExitProcess, GetCommandLineA, GetStartupInfoA, lstrlenA, LocalAlloc, LocalFree, GetProcessHeap, HeapAlloc, HeapFree, OpenFileMappingA, lstrcmpiA, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, GetCurrentProcessId, GetTickCount, GetPrivateProfileIntA, GetUserDefaultLangID, GetModuleHandleA, RaiseException, RtlUnwind, GetPrivateProfileStringA, GetPrivateProfileSectionA, GetVersionExA, GetLastError, WriteFile, GetTempPathA, GetTempFileNameA, GlobalAlloc, GlobalLock, CreateFileA, GetFileSize, ReadFile, GlobalUnlock, GlobalFree, GlobalHandle, FindFirstFileA, FindClose, DeleteFileA, CloseHandle, MultiByteToWideChar, WideCharToMultiByte, VirtualFree
> USER32.dll: IsCharAlphaW, SendMessageA, IsWindow, GetWindowLongA, RegisterClassA, CreateWindowExA, PostQuitMessage, DefWindowProcA, SetForegroundWindow, SetFocus, GetAsyncKeyState, GetCursorPos, GetParent, DrawMenuBar, TrackPopupMenu, LoadMenuA, GetSubMenu, ModifyMenuW, GetMenuItemInfoW, SetMenuItemInfoW, ModifyMenuA, GetMenuItemInfoA, SetMenuItemInfoA, AppendMenuA, LoadBitmapA, AppendMenuW, DestroyMenu, SetTimer, LoadImageA, KillTimer, GetSystemMetrics, GetSysColor, FillRect, MessageBoxW, MessageBoxA, PostMessageA, ShowWindow, UpdateWindow, GetMessageA, TranslateMessage, DispatchMessageA, FindWindowA, LoadStringW, LoadStringA
> GDI32.dll: CreateICA, CreateSolidBrush, GetObjectA, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, SetTextColor, SetBkColor, GetTextExtentPoint32W, TextOutW, GetTextExtentPoint32A, TextOutA, DeleteObject
> WINSPOOL.DRV: OpenPrinterW, OpenPrinterA, ClosePrinter, GetPrinterA, GetPrinterDataA, GetPrinterW, GetPrinterDriverW, EnumPrinterDriversW, GetPrinterDriverA, EnumPrinterDriversA
> ADVAPI32.dll: RegEnumKeyExA, RegCreateKeyExA, RegQueryValueExA, RegCloseKey, RegOpenKeyExW, RegOpenKeyExA, RegEnumValueA, RegDeleteValueA, RegQueryValueExW, RegSetValueExA, RegSetValueExW, RegDeleteKeyA, RegDeleteValueW
> SHELL32.dll: ShellExecuteA, Shell_NotifyIconW, Shell_NotifyIconA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: SEIKO EPSON CORPORATION
copyright....: Copyright (C) SEIKO EPSON CORP. 2006
product......: EPSON Status Monitor 3
description..: EPSON Status Monitor 3
original name: E_S7I0V1.EXE
internal name: E_S7I0V1
file version.: 4.01
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Alt 21.09.2009, 16:50   #5
oxymi12
 
Malware... :( Bitte logs checken... - Standard

Malware... :( Bitte logs checken...



Datei E_S1C9.tmp empfangen 2009.09.21 15:24:28 (UTC)
Status: Beendet
Ergebnis: 0/41 (0%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.21 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.21 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.21 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2392 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.21 -
eTrust-Vet 31.6.6750 2009.09.21 -
F-Prot 4.5.1.85 2009.09.21 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.850 2009.09.21 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.21 -
Microsoft 1.5005 2009.09.21 -
NOD32 4443 2009.09.21 -
Norman 6.01.09 2009.09.21 -
nProtect 2009.1.8.0 2009.09.21 -
Panda 10.0.2.2 2009.09.21 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.04.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1945 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.21 -
weitere Informationen
File size: 132 bytes
MD5...: 360c93e50cb6df618bc4b400b894b07d
SHA1..: f7a332b445999233224b09b34cf56e5d5430d91a
SHA256: c3284f9f3990e97e24520643dc151b3f30a02497e4d429bec217cb79510d4935
ssdeep: 3:KlhdlgvCcfCRuwSn+VXklrakFvQwrfFQkelKRuwSn+VX/:+Sv1CEumlrakywD+
1lKEuF
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned



Datei rundll32.exe empfangen 2009.09.21 15:27:56 (UTC)
Status: Beendet
Ergebnis: 0/41 (0%)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.21 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.21 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.21 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2392 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.21 -
eTrust-Vet 31.6.6750 2009.09.21 -
F-Prot 4.5.1.85 2009.09.21 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.850 2009.09.21 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.21 -
Microsoft 1.5005 2009.09.21 -
NOD32 4443 2009.09.21 -
Norman 6.01.09 2009.09.21 -
nProtect 2009.1.8.0 2009.09.21 -
Panda 10.0.2.2 2009.09.21 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.04.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1945 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.21 -
weitere Informationen
File size: 33792 bytes
MD5...: 9082ad264d95541ddc7cb2ac6513dc0d
SHA1..: 59b60f0633c283feb42e5d30aea54d6c4555d176
SHA256: c57b36912f69bb3c680d0f213a959443b2e98cd7479e595be45715e3fd5b9bb7
ssdeep: 384:R7pvAw66v9X21NRhbHeJh8+oXBjxJd5IyYQGSbdkDjkoebjDISavHW98aF1:
vvAOCbSEln5IyYpamDjobj8Sav3e1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1bdc
timedatestamp.....: 0x41107dbc (Wed Aug 04 06:10:04 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x126a 0x1400 5.98 d281fdfec0db5fad1cd84a2a892441ec
.data 0x3000 0x38 0x200 0.25 a7f7e8f7f41d7ffb4b369fe282510650
.rsrc 0x4000 0x6898 0x6a00 5.63 1bbe8b9c930fa62b4fbc72b24be03f28

( 5 imports )
> msvcrt.dll: _except_handler3, _wtoi, _vsnwprintf
> KERNEL32.dll: FreeLibrary, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, FormatMessageW, GetLastError, LoadLibraryW, ActivateActCtx, CreateActCtxW, SearchPathW, GetFileAttributesW, ReleaseActCtx, DeactivateActCtx, SetErrorMode, ExitProcess, GetModuleHandleW, GetStartupInfoW, GetCommandLineW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
> GDI32.dll: GetStockObject
> USER32.dll: RegisterClassW, LoadStringW, CharNextW, SetClassLongW, LoadIconW, DefWindowProcW, CreateWindowExW, MessageBoxW, LoadCursorW, DestroyWindow
> IMAGEHLP.dll: ImageDirectoryEntryToData

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Eine DLL-Datei als Anwendung ausf_hren
original name: RUNDLL.EXE
internal name: rundll
file version.: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
comments.....: n/a
signers......: -
signing date.: -


Aber: die Datei mailkmd.sys konnte ich nicht finden (obwohl die versteckten ordner und dateien werden angezeigt...).

Vielen Dank schonmal... ich mache mich schonmal mental aufs Neuaufsetzen gefasst


Alt 21.09.2009, 20:38   #6
Donthackme
 

Malware... :( Bitte logs checken... - Standard

Malware... :( Bitte logs checken...



Zitat:
Aber: die Datei mailkmd.sys konnte ich nicht finden (obwohl die versteckten ordner und dateien werden angezeigt...).
Bei dieser Datei handelt sich sich mit grosser Sicherheit um Malware.
Siehe dazu:
MAILKMD.SYS, Prevx
Es ist ein DRIVER und sollte eigentlich unter diesem Pfad zu finden sein:
C:WINDOWSsystem32driversmailKmd.sys
Wenn nicht, ist er "hidden".

Nachtrag:
Bitte machen einen schnellen Check bei VIRUS TOTAL von diesem Drivereintrag:
Wbutton;Wbutton; C:\WINDOWS\system32\drivers\Wbutton.sys

Zitat:
Hmm... oh nein, das klingt alles nicht so gut, aber hatte es schon erwartet... denke, ich werde das System neu aufsetzen... ist zwar ärgerlich, aber wird die sicherere Variante sein...
Wie läuft der Computer? Hast du Probleme beim Surfen im Internet, oder andere Probleme mit dem Computer? Läuft er sonst reibungslos, ist Neuaufsetzen nicht unbedingt nötig.
Wie gesagt, eine Bereinigung ist machbar.
Die ersten zwei Schritte, die ich dir in meinem letzten Thread vorgezeigt habe, sollten problemlos ablaufen. Speichere deine wichtigsten Daten auf einem USB Stick, den wir dann im Bereinigungsprozess auch mitscannen werden.

Solltest du Neuaufsetzen wählen, folge der Anleitung im Link.

Sehr wichtig ist, dass du dann dein System absicherst. Ich sehe, dass du fehlende Updates hast, von Microsoft (Service Pack 3) und diversen Programmen (Jave, Acrobat Reader, Internet Explorer)
Malware attackiert Schwachstellen im System, sprich ein veraltertes System/Programme. Solltest du eine Neuaufsetzung angehen, melde dich danach noch mal und ich gebe dir Tipps für sicheres Surfen und einen sicheren PC.

Hier:

hat ein Kollege die Sache auf den Punkt gebracht!
http://www.trojaner-board.de/12154-a...sicherung.html
__________________
--> Malware... :( Bitte logs checken...

Geändert von Donthackme (21.09.2009 um 21:16 Uhr)

Antwort

Themen zu Malware... :( Bitte logs checken...
adobe, antivir, antivirus, avira, bho, bonjour, c:\windows\temp, computer, desktop, dsl, einstellungen, firefox, google, gupdate, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, launch, malwarebytes anti-malware, monitor, nicht mehr öffnen, object, registrierungsschlüssel, security.hijack, senden, software, stick, system, temp, toolbars, trojan.agent.h, trojan.fakealert.h, userinit.exe, windows xp, windows\temp



Ähnliche Themen: Malware... :( Bitte logs checken...


  1. BKA Trojaner mit Anti-Malware entfernt und OTL logs brauche ein script bitte
    Log-Analyse und Auswertung - 09.09.2012 (10)
  2. Win7 64bit, Bka Trojaner Befall, OTL und Malware Logs
    Log-Analyse und Auswertung - 23.07.2012 (15)
  3. sbcvvhost_win86 probleme, bitte logs checken
    Log-Analyse und Auswertung - 29.12.2011 (3)
  4. Kann Trojaner nicht einschätzen. Bitte Logs checken
    Log-Analyse und Auswertung - 27.09.2011 (33)
  5. Logs bitte Checken
    Log-Analyse und Auswertung - 12.05.2011 (28)
  6. Checken der Logs nach Trojaner Fund in Java Dateien
    Log-Analyse und Auswertung - 14.09.2010 (23)
  7. Verschieden Trojaner und Malware (Malwarebytelog+OTL Logs)
    Log-Analyse und Auswertung - 28.04.2010 (2)
  8. hijack + combofix logs checken
    Log-Analyse und Auswertung - 21.04.2010 (3)
  9. checken des Hjt-Logs, da CPU-Auslastung immer 100%
    Log-Analyse und Auswertung - 30.05.2009 (2)
  10. Hijackthis + Malwarebytes Anti-Malware Logs
    Log-Analyse und Auswertung - 07.02.2009 (0)
  11. Hilfe! Probleme mit Malware bitte checken (security-notifications.com)
    Log-Analyse und Auswertung - 09.09.2008 (7)
  12. Malware, Laggs, ... Bitte checken
    Log-Analyse und Auswertung - 21.07.2008 (16)
  13. HJT-Log Malware Bytes Logs
    Log-Analyse und Auswertung - 19.06.2008 (3)
  14. Computer wird langsam | Logs checken bitte
    Log-Analyse und Auswertung - 02.09.2007 (5)
  15. Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken.
    Log-Analyse und Auswertung - 01.09.2007 (4)
  16. HiJackThis Logs zum checken :)
    Log-Analyse und Auswertung - 07.01.2006 (5)
  17. Bitte Logs checken
    Log-Analyse und Auswertung - 23.11.2004 (7)

Zum Thema Malware... :( Bitte logs checken... - Hallo zusammen, nachdem gestern mein Firefox abstürzte und es sich nicht mehr öffnen ließ, habe ich Malwarebytes drüberlaufen lassen (mit insgesamt 8 Funden) Hier das gestrige Ergebnis: Malwarebytes' Anti-Malware 1.41 - Malware... :( Bitte logs checken......
Archiv
Du betrachtest: Malware... :( Bitte logs checken... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.