Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.10.2009, 17:23   #1
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Hallo zusammen,

habe heute meinen USB Stick in einen anderen Rechner eingesteckt und da sagt mir das auf diesem installierte McAfee, dass sich in winlogonss\winlogons\ms.exe ein Trojaner verbirgt.

Hab dann direkt mein Netbook gecheckt und da ist dasselbe File in besagtem Ordner auf der Systempartition. Einfaches löschen der Ornder hilft nicht, erstellt sich immer wieder neu. AVG findet die Datei als Generic14.CCEB Trojaner, aber auch nach Neustart über AVG ist die Datei noch dort. Google findet zu diesem Trojaner auch nix. Auch Spybot findet nix. So wie es bis jetzt aussieht funktioniert der Unterordner winlogons auch als so ne Art Recycler. Eingefangen hab ich mir das Ding wohl vor ner Woche, zumindest besagt das das Datum des Ordners.

Auf google findet man nur eine russische Seite zu dem Thema, welche ich allerdings nicht verstehe :-) Da hier im Forum auch kein Hinweis zu finde ist, hab ich mal das logfile nach Anleitung erstellt. Hoffe ihr könnte mir helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:14, on 30.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\AVG\AVG8\avgscanx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\JavaJRE6U14\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - Global Startup: BTTray.lnk.disabled
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{32385EF2-8906-42DE-9030-637A2287B71D}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6980 bytes

Wenn noch mehr Infos benötigt werden, liefere ich die natürlich gern.

Grüße
Hockeygott

Geändert von hockeygott (30.10.2009 um 17:34 Uhr)

Alt 31.10.2009, 20:14   #2
kira
/// Helfer-Team
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Hallo und Herzlich Willkommen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

5.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow
__________________


Alt 01.11.2009, 16:22   #3
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Hier die Filelist Ergebnisse:

Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 64D0-A91B

 Verzeichnis von C:\

01.11.2009  17:15                43 filelist.txt
01.11.2009  17:12            12.033 test.spr
01.11.2009  12:33     1.598.029.824 pagefile.sys
31.10.2009  17:32               211 boot.ini
31.10.2009  10:20             1.320 fpRedmon.log
28.06.2009  14:13               418 InstallHelper.log
14.06.2009  16:14            12.292 .DS_Store
06.06.2009  00:26                47 settings.dat
06.06.2009  00:21                 0 IO.SYS
06.06.2009  00:21                 0 MSDOS.SYS
06.06.2009  00:21                 0 CONFIG.SYS
06.06.2009  00:21                 0 AUTOEXEC.BAT

----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 64D0-A91B

 Verzeichnis von C:\WINDOWS

10.04.2010  16:24                36 oemver.txt
02.03.2010  09:12           316.640 WMSysPr9.prx
02.03.2010  09:12             4.161 ODBCINST.INI
02.03.2010  09:10               749 WindowsShell.Manifest
02.03.2010  09:10                37 vbaddin.ini
02.03.2010  09:10                36 vb.ini
02.03.2010  09:09               200 cmsetacl.log
02.03.2010  09:08                 0 Sti_Trace.log
01.11.2009  12:47         2.017.341 WindowsUpdate.log
01.11.2009  12:34                 0 0.log
01.11.2009  12:33               159 wiadebug.log
01.11.2009  12:33                50 wiaservc.log
01.11.2009  12:33             2.048 bootstat.dat
31.10.2009  20:31            32.642 SchedLgU.Txt
31.10.2009  17:32               528 win.ini
31.10.2009  17:32               227 system.ini
31.10.2009  12:04            96.905 iis6.log
31.10.2009  12:04           215.588 comsetup.log
31.10.2009  12:04             1.393 imsins.log
31.10.2009  12:04             4.255 KB958869.log
31.10.2009  12:04           128.834 ntdtcsetup.log
31.10.2009  12:04            34.015 ocmsn.log
31.10.2009  12:04           240.959 tsoc.log
31.10.2009  12:04           301.457 ocgen.log
31.10.2009  12:04            30.844 msgsocm.log
31.10.2009  12:04           611.328 FaxSetup.log
31.10.2009  12:04           995.492 setupapi.log
31.10.2009  11:57             1.393 imsins.BAK
31.10.2009  11:57            19.040 KB969059.log
31.10.2009  11:57            14.593 KB954155.log
31.10.2009  11:56            19.040 KB974112.log
31.10.2009  11:56            18.956 KB975025.log
31.10.2009  11:56            97.533 KB974455-IE7.log
31.10.2009  11:55            65.004 updspapi.log
31.10.2009  11:55            12.458 KB974571.log
31.10.2009  11:54             8.825 KB971486.log
31.10.2009  11:53             7.129 KB973525.log
31.10.2009  11:53            12.312 KB975467.log
17.10.2009  08:17           221.056 setupact.log
12.09.2009  06:56             6.715 KB968816.log
12.09.2009  06:56             6.366 KB956844.log
12.09.2009  06:56             6.684 KB971961.log
07.09.2009  20:54            19.186 KB968389.log
03.09.2009  20:11            10.112 spupdsvc.log
31.08.2009  22:35            11.915 KB960859.log
31.08.2009  22:35            12.431 KB961371-v2.log
31.08.2009  22:35            12.275 KB971657.log
31.08.2009  22:35             5.539 KB961118.log
31.08.2009  22:34            11.678 KB971557.log
31.08.2009  22:34             7.718 KB956744.log
31.08.2009  22:34             7.329 KB973869.log
31.08.2009  22:34            12.270 KB973507.log
31.08.2009  22:34             6.924 KB973354.log
31.08.2009  22:34             7.421 KB973540.log
31.08.2009  22:34            17.281 wmsetup.log
31.08.2009  22:32            11.423 KB973815.log
31.08.2009  22:31             3.804 KB970653-v3.log
11.08.2009  15:42            23.098 KB960715.log
11.08.2009  14:58            36.608 KB959426.log
11.08.2009  14:58            35.391 KB960225.log
11.08.2009  14:41            27.532 KB956572.log
11.08.2009  14:40            26.620 KB961501.log
11.08.2009  14:40            26.115 KB971633.log
11.08.2009  14:40            27.546 KB952004.log
11.08.2009  14:39           103.290 KB972260-IE7.log
11.08.2009  14:39            16.578 KB941569.log
11.08.2009  14:38            18.017 KB967715.log
11.08.2009  14:38             1.847 ie8_main.log
11.08.2009  14:31             9.412 KB959772.log
11.08.2009  14:31            53.161 KB952069.log
11.08.2009  14:30            16.934 KB970238.log
11.08.2009  14:30            16.417 KB960803.log
11.08.2009  14:27            15.734 KB968537.log
11.08.2009  14:27           308.780 msxml4-KB954430-enu.LOG
11.08.2009  14:27            10.837 KB923561.log
11.08.2009  14:04             8.383 KB898461.log
06.06.2009  00:21                 0 setuperr.log
06.06.2009  00:21                 0 control.ini
05.06.2009  22:41             1.864 OEWABLog.txt
05.06.2009  22:40           945.255 setuplog.txt
05.06.2009  22:38             3.941 sessmgr.setup.log
05.06.2009  22:38               626 DtcInstall.log
05.06.2009  22:36             2.750 regopt.log
05.06.2009  20:06                 0 nsreg.dat

----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 64D0-A91B

 Verzeichnis von C:\WINDOWS\system

14.04.2008  13:00            70.368 AVICAP.DLL
14.04.2008  13:00           109.504 AVIFILE.DLL

----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 64D0-A91B

 Verzeichnis von C:\WINDOWS\system32

10.04.2010  16:32               333 $ncsp$.inf
02.03.2010  09:12             2.951 CONFIG.NT
02.03.2010  09:10               488 WindowsLogon.manifest
02.03.2010  09:10               488 logonui.exe.manifest
02.03.2010  09:10               749 ncpa.cpl.manifest
02.03.2010  09:10               749 wuaucpl.cpl.manifest
02.03.2010  09:10               749 sapi.cpl.manifest
02.03.2010  09:10               749 nwc.cpl.manifest
02.03.2010  09:10               749 cdplayer.exe.manifest
02.03.2010  09:10            21.740 emptyregdb.dat
02.03.2010  09:08                 0 h323log.txt
01.11.2009  12:55           358.382 vsconfig.xml
31.10.2009  12:07           441.772 perfh009.dat
31.10.2009  12:07            71.708 perfc009.dat
31.10.2009  12:07           459.728 perfh007.dat
31.10.2009  12:07            85.070 perfc007.dat
31.10.2009  12:07         1.027.202 PerfStringBackup.INI
30.10.2009  10:57             1.158 wpa.dbl
02.10.2009  19:01        25.198.016 MRT.exe
13.09.2009  07:28            11.952 avgrsstx.dll
11.09.2009  15:17           136.192 msv1_0.dll
04.09.2009  22:03            58.880 msasn1.dll
01.09.2009  15:46           282.654 msaud32.acm
31.08.2009  22:31           588.430 TZLog.log
29.08.2009  08:24           233.472 webcheck.dll
29.08.2009  08:24           832.512 wininet.dll
29.08.2009  08:24            44.544 pngfilt.dll
29.08.2009  08:24           105.984 url.dll
29.08.2009  08:24           671.232 mstime.dll
29.08.2009  08:24         1.168.384 urlmon.dll
29.08.2009  08:24           102.912 occache.dll
29.08.2009  08:24         3.598.336 mshtml.dll
29.08.2009  08:24           193.024 msrating.dll
29.08.2009  08:24           477.696 mshtmled.dll
29.08.2009  08:24           459.264 msfeeds.dll
29.08.2009  08:24            52.224 msfeedsbs.dll
29.08.2009  08:24            27.648 jsproxy.dll
29.08.2009  08:24         1.830.912 inetcpl.cpl
29.08.2009  08:24           268.288 iertutil.dll
29.08.2009  08:24         6.067.200 ieframe.dll
29.08.2009  08:24            44.544 iernonce.dll
29.08.2009  08:24           385.024 iedkcs32.dll
29.08.2009  08:24            78.336 ieencode.dll
29.08.2009  08:24           230.400 ieaksie.dll
29.08.2009  08:24           380.928 ieapfltr.dll
29.08.2009  08:24           153.088 ieakeng.dll
29.08.2009  08:24            63.488 icardie.dll
29.08.2009  08:24           133.120 extmgr.dll
29.08.2009  08:24           347.136 dxtmsft.dll
29.08.2009  08:24           124.928 advpack.dll
29.08.2009  08:24            17.408 corpol.dll
29.08.2009  08:24           214.528 dxtrans.dll
28.08.2009  11:28           389.120 html.iec
28.08.2009  11:28            13.824 ieudinit.exe
28.08.2009  11:28            70.656 ie4uinit.exe
27.08.2009  06:18           161.792 ieakui.dll
26.08.2009  09:00           247.326 strmdll.dll
13.08.2009  16:15           512.000 jscript.dll
11.08.2009  15:04           274.968 FNTCACHE.DAT
05.08.2009  09:59           206.336 mswebdvd.dll
04.08.2009  18:26         2.147.840 ntoskrnl.exe
04.08.2009  18:25         2.026.496 ntkrnlpa.exe
29.07.2009  05:34           119.808 t2embed.dll
29.07.2009  05:34            81.920 fontsub.dll
17.07.2009  20:01            58.880 atl.dll
17.07.2009  17:15         1.441.792 query.dll
14.07.2009  12:03            46.080 tzchange.exe
13.07.2009  22:43        10.841.088 wmp.dll
13.07.2009  22:43           286.208 wmpdxm.dll
13.07.2009  19:11           148.888 javaws.exe
13.07.2009  19:11           144.792 javaw.exe
13.07.2009  19:11           144.792 java.exe
13.07.2009  19:11            73.728 javacpl.cpl
13.07.2009  19:11           410.984 deploytk.dll
29.06.2009  09:33         2.452.872 ieapfltr.dat
25.06.2009  09:25           147.456 schannel.dll
25.06.2009  09:25            54.272 wdigest.dll
25.06.2009  09:25            56.832 secur32.dll
25.06.2009  09:25           301.568 kerberos.dll
25.06.2009  09:25           737.792 lsasrv.dll
18.06.2009  11:16         1.044.480 roboex32.dll
18.06.2009  11:16            49.152 inetwh32.dll
15.06.2009  11:43            78.848 telnet.exe
13.06.2009  15:40            24.064 ctfmon.exe
10.06.2009  15:13            85.504 avifil32.dll
10.06.2009  08:19         2.066.432 mstscax.dll
10.06.2009  07:14           132.096 wkssvc.dll
05.06.2009  22:40                68 $winnt$.inf
05.06.2009  22:37             5.208 pid.PNF
05.06.2009  22:35                27 DetectDevice.txt
05.06.2009  21:49             4.212 zllictbl.dat
03.06.2009  20:09         1.296.896 quartz.dll

----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 64D0-A91B

 Verzeichnis von C:\WINDOWS\Prefetch

10.04.2010  16:32            16.394 CMD.EXE-087B4001.pf
10.04.2010  16:31            14.468 VERCLSID.EXE-3667BD89.pf
10.04.2010  16:29            40.126 WMIPRVSE.EXE-28F301A9.pf
10.04.2010  16:28            12.556 REGEDIT.EXE-1B606482.pf
10.04.2010  16:26         1.125.082 NTOSBOOT-B00DFAAD.pf
01.11.2009  17:14            14.490 7ZG.EXE-189F3F41.pf
01.11.2009  17:00            18.222 TASKMGR.EXE-20256C55.pf
01.11.2009  16:59            37.756 BTSTAC~1.EXE-2BF86A68.pf
01.11.2009  16:59             2.648 CTFMON.EXE-0E17969B.pf
01.11.2009  16:56            29.604 AVGCMGR.EXE-1683B2E1.pf
01.11.2009  16:31            71.368 FIREFOX.EXE-1D57670A.pf
01.11.2009  16:29            40.694 AVGSRMAX.EXE-2F474AD3.pf
01.11.2009  16:29           109.658 THUNDERBIRD.EXE-031A6371.pf
01.11.2009  16:20            37.944 LOGONUI.EXE-0AF22957.pf
01.11.2009  14:23            26.282 RUNDLL32.EXE-191D429D.pf
01.11.2009  14:21            69.762 ACRORD32INFO.EXE-19D979CC.pf
01.11.2009  14:06            31.554 MYPHONEEXPLORER.EXE-05E402FD.pf
01.11.2009  13:16            61.654 JAVAW.EXE-1DA9F6E6.pf
01.11.2009  13:06            62.356 AVGCSRVX.EXE-06E50003.pf
01.11.2009  13:05            12.044 RUNDLL32.EXE-451FC2C0.pf
01.11.2009  13:04            29.938 RUNDLL32.EXE-21940F6B.pf
01.11.2009  13:04            70.252 AVGUI.EXE-17FEF51D.pf
01.11.2009  12:53            30.864 VSMON.EXE-1609C098.pf
01.11.2009  12:52            44.562 ZLCLIENT.EXE-0120F620.pf
01.11.2009  12:52            48.264 AVGSCANX.EXE-1699F935.pf
01.11.2009  12:48            23.994 WUAUCLT.EXE-399A8E72.pf
01.11.2009  12:47            10.712 IGFXEXT.EXE-20973E2B.pf
01.11.2009  12:47            12.714 FPASSIST.EXE-18368AA2.pf
01.11.2009  12:47            16.268 ETDCTRL.EXE-2F05E7A1.pf
01.11.2009  12:47            18.054 ASACPISVR.EXE-0D73EB00.pf
01.11.2009  12:47            11.658 IGFXSRVC.EXE-2FB63FE8.pf
01.11.2009  12:47             7.202 ASEPCMON.EXE-228FA442.pf
01.11.2009  12:47            30.536 AVGTRAY.EXE-17920267.pf
01.11.2009  12:47            15.116 HKCMD.EXE-1D05234B.pf
01.11.2009  12:47            21.626 USERINIT.EXE-30B18140.pf
01.11.2009  12:47            70.604 EXPLORER.EXE-082F38A9.pf
01.11.2009  12:38            20.592 FIXCFG.EXE-14769470.pf
31.10.2009  20:26           117.986 VLC.EXE-29851A71.pf
31.10.2009  19:33            24.826 WORDPAD.EXE-1EFCC5C1.pf
31.10.2009  19:33            13.316 RUNDLL32.EXE-4B233CFC.pf
31.10.2009  19:25            17.042 NOTEPAD.EXE-336351A9.pf
31.10.2009  19:24            17.246 RUNDLL32.EXE-137EF9D9.pf
31.10.2009  19:23            53.870 WLXQUICKTIMECONTROLHOST.EXE-052CA298.pf
31.10.2009  19:13            11.542 CACLS.EXE-25504E4A.pf
31.10.2009  19:03           387.734 Layout.ini
31.10.2009  18:54             6.878 LOGON.SCR-151EFAEA.pf
31.10.2009  18:40            44.856 AVGUPD.EXE-3670E4F0.pf
31.10.2009  18:36            40.544 ADOBEUPDATER.EXE-370FC314.pf
31.10.2009  18:35            62.994 ACRORD32.EXE-153330F0.pf
31.10.2009  18:12            32.120 WLTUSER.EXE-231BB668.pf
31.10.2009  18:12            29.048 RUNDLL32.EXE-200B002C.pf
31.10.2009  18:12            61.790 IEXPLORE.EXE-2CA9778D.pf
31.10.2009  18:06           156.180 EXCEL.EXE-3AB61D88.pf
31.10.2009  17:53            32.700 UPDCLIENT.EXE-215FC96B.pf
31.10.2009  17:50            29.608 RUNDLL32.EXE-1BE5E77D.pf
31.10.2009  17:35            11.034 WSCNTFY.EXE-1B24F5EB.pf
31.10.2009  17:31            29.044 MSCONFIG.EXE-35E4DAE9.pf
31.10.2009  14:49            29.674 HH.EXE-2D1A70B3.pf
31.10.2009  14:27            68.198 SPYBOTSD.EXE-22C71193.pf
31.10.2009  14:26            30.002 SDUPDATE.EXE-16E259FD.pf
31.10.2009  14:25            17.050 AVGRSX.EXE-3282C2D5.pf
31.10.2009  14:24            35.680 AVGNSX.EXE-3B2A5A79.pf
31.10.2009  14:22            21.884 RSTRUI.EXE-03C49A96.pf
31.10.2009  14:11            16.408 ROOTREPEAL.EXE-371B100D.pf
31.10.2009  14:10            29.328 RUNDLL32.EXE-34A49E58.pf
31.10.2009  14:10            15.494 SVCHOST.EXE-3530F672.pf
31.10.2009  14:09            26.276 DWWIN.EXE-30875ADC.pf
31.10.2009  14:09            14.410 SUPERHYBRIDENGINE.EXE-1BCA7115.pf
31.10.2009  14:09            16.704 DUMPREP.EXE-1B46F901.pf
31.10.2009  14:09            12.434 BLINDMAN.EXE-0F7EAAFA.pf
31.10.2009  12:41           136.434 MSCORSVW.EXE-1BF30400.pf
31.10.2009  12:14            49.962 U8IP78SX.EXE-13A2D6F2.pf
31.10.2009  12:08            20.274 LODCTR.EXE-1009C3B4.pf
31.10.2009  12:07            10.332 NGEN.EXE-38021CCC.pf
31.10.2009  12:07            34.562 REGSVCS.EXE-11A17120.pf
31.10.2009  12:07            34.740 ASPNET_REGIIS.EXE-009D6E80.pf
31.10.2009  12:07            21.972 MOFCOMP.EXE-01718E95.pf
31.10.2009  12:06           136.900 MSIEXEC.EXE-2F8A8CAE.pf
31.10.2009  12:06            10.380 REGTLIBV12.EXE-0E2FA54B.pf
31.10.2009  12:04            18.534 HOTFIXINSTALLER.EXE-065E7117.pf
31.10.2009  12:04            54.456 NDP20SP2-KB974417-X86.EXE-002420EA.pf
31.10.2009  12:03            67.992 UPDATE.EXE-15C6200D.pf
31.10.2009  11:57            53.970 MRT.EXE-1B4A8D49.pf
31.10.2009  11:57            21.962 WINDOWS-KB890830-V3.0-DELTA.E-1CF06118.pf
31.10.2009  11:57            51.198 MRTSTUB.EXE-374931FC.pf
31.10.2009  11:57            69.266 UPDATE.EXE-350FCF0A.pf
31.10.2009  11:56            37.394 UPDATE.EXE-2BCA4E46.pf
31.10.2009  11:56            69.218 UPDATE.EXE-09DAC4F8.pf
31.10.2009  11:56            67.604 UPDATE.EXE-170B00D3.pf
31.10.2009  11:56           188.694 NGEN.EXE-171CDCC6.pf
31.10.2009  11:55            69.274 UPDATE.EXE-323427FD.pf
31.10.2009  11:55            67.846 UPDATE.EXE-2CF99B93.pf
31.10.2009  11:55             7.266 NETFXUPDATE.EXE-1BB060FE.pf
31.10.2009  11:54            23.810 GACUTIL.EXE-2736E6B3.pf
31.10.2009  11:54            54.646 NDP1.1SP1-KB953297-X86.EXE-33E8E47A.pf
31.10.2009  11:53            68.924 UPDATE.EXE-065C6B0A.pf
31.10.2009  11:53            71.942 UPDATE.EXE-1AEA4BE4.pf
31.10.2009  11:53            85.386 UPDATE.EXE-23A13842.pf
31.10.2009  11:42            15.990 RUNDLL32.EXE-4C4CDC7B.pf
31.10.2009  11:01            15.996 FREEPDF.EXE-054FA9B2.pf
31.10.2009  11:01            22.238 GSWIN32C.EXE-0AD3A65B.pf
31.10.2009  10:35            67.686 DFRGNTFS.EXE-269967DF.pf
31.10.2009  10:35            15.796 DEFRAG.EXE-273F131E.pf
31.10.2009  10:20             5.204 REDRUN.EXE-0746FC9C.pf
31.10.2009  10:20            11.428 FPREDMON.EXE-04FE2A32.pf
31.10.2009  10:08            16.010 RUNDLL32.EXE-3612C417.pf
31.10.2009  09:47            29.830 RUNDLL32.EXE-27DA251A.pf
30.10.2009  20:04            17.928 RUNDLL32.EXE-27A05B02.pf
30.10.2009  19:38            57.816 CLVIEW.EXE-10223D38.pf
30.10.2009  19:25            16.194 RUNDLL32.EXE-21440FB0.pf
30.10.2009  19:24            15.872 RUNDLL32.EXE-350C4D26.pf
30.10.2009  19:24            15.872 RUNDLL32.EXE-169D9D8B.pf
30.10.2009  19:23            15.872 RUNDLL32.EXE-3A82FE4C.pf
30.10.2009  19:23            16.498 RUNDLL32.EXE-17B0F912.pf
30.10.2009  19:20            17.086 RUNDLL32.EXE-2AC45638.pf
30.10.2009  19:11            50.620 RUNDLL32.EXE-3FD54799.pf
30.10.2009  19:06            16.888 HIJACKTHIS.EXE-1CB4CC24.pf
30.10.2009  19:05             1.914 RUNDLL32.EXE-13404D23.pf
30.10.2009  18:47            40.506 AVGWDSVC.EXE-1AC4BEE6.pf
30.10.2009  18:40            32.690 RUNDLL32.EXE-2E19E715.pf
30.10.2009  18:28            74.802 UPDATE.EXE-08894AB6.pf
30.10.2009  18:28            77.958 UPDATE.EXE-2B7510D6.pf
30.10.2009  18:27            80.148 UPDATE.EXE-28B39077.pf
30.10.2009  18:27            86.374 UPDATE.EXE-0ACF221C.pf
30.10.2009  18:23            74.884 UPDATE.EXE-0A4EEBF9.pf
30.10.2009  18:20            82.810 UPDATE.EXE-00C03C08.pf
30.10.2009  17:57            17.302 HJTINSTALL202.EXE-2FA77DBF.pf
30.10.2009  17:04            10.682 MS.EXE-35143963.pf
30.10.2009  16:14             4.070 I4JDEL0.EXE-359FAF3E.pf
30.10.2009  16:07            66.070 AZUREUS.EXE-180111A2.pf
             130 Datei(en)      6.527.490 Bytes
               0 Verzeichnis(se), 58.922.733.568 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 64D0-A91B

 Verzeichnis von C:\WINDOWS\tasks

01.11.2009  12:33                 6 SA.DAT
14.04.2008  13:00                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se), 58.922.737.664 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 64D0-A91B

 Verzeichnis von C:\WINDOWS\Temp

01.11.2009  12:54               256 ZLT01784.TMP
01.11.2009  12:54               256 ZLT0177e.TMP
31.10.2009  18:40                66 avg8info.id
31.10.2009  11:58             8.730 NetFxUpdate_v1.1.4322.log
31.10.2009  10:20               442 fpRedmon.log
31.10.2009  09:50               256 ZLT03cb2.TMP
31.10.2009  09:49               256 ZLT03c74.TMP
30.10.2009  18:40               256 ZLT00408.TMP
30.10.2009  18:40               256 ZLT00404.TMP
               9 Datei(en)         10.774 Bytes
               0 Verzeichnis(se), 58.922.733.568 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 64D0-A91B

 Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

01.11.2009  16:31                 0 etilqs_YPkS9EJEYsgP8aAyTneN
01.11.2009  12:47            16.384 ~DFE7C3.tmp
31.10.2009  12:08           505.402 Microsoft .NET Framework 2.0-KB974417_20091031_110415656.html
31.10.2009  12:08         9.936.852 Microsoft .NET Framework 2.0-KB974417_20091031_110415656-Msi0.txt
31.10.2009  12:07             5.158 ASPNETSetup_00000.log
31.10.2009  11:57           524.288 TMP00000001E64F4602C3EDB0F1
31.10.2009  11:57         5.492.032 mpengine.dll
31.10.2009  11:55             1.547 NetFxUpdate_v1.1.4322.log
30.10.2009  16:14             4.608 i4jdel0.exe
30.10.2009  16:07            77.824 swt-gdip-win32-3448.dll
30.10.2009  16:07           335.872 swt-win32-3448.dll
18.10.2009  01:48           939.833 IAC-09.A5.2.-B3.6.5.pdf
18.10.2009  01:48           505.963 IAC-09.A5.2.-B3.6.3.pdf
18.10.2009  01:48         3.142.100 IAC-09.A3.6.4.pdf
18.10.2009  01:48         1.231.119 IAC-09.A3.6.8.pdf
18.10.2009  01:47           110.340 IAC-09.A3.6.2.pdf
18.10.2009  01:47           401.715 IAC-09.A3.6.1.pdf
18.10.2009  01:47         4.269.376 IAC-09.A3.5.8.pdf
18.10.2009  01:47           743.873 IAC-09.A3.5.9.pdf
18.10.2009  01:46         1.259.886 IAC-09.A3.5.4.pdf
18.10.2009  01:46           875.103 IAC-09.A3.5.3.show.pdf
18.10.2009  01:46           853.347 IAC-09.A3.5.2.pdf
18.10.2009  01:46           173.349 IAC-09.A3.5.1.pdf
18.10.2009  01:43           777.499 IAC-09.C4.8.5.pdf
18.10.2009  01:42           912.552 IAC-09.C1.10.8.pdf
18.10.2009  01:42           729.590 IAC-09.C1.10.4.pdf
18.10.2009  01:41            81.491 IAC-09.B6.2.6.pdf
18.10.2009  01:41           169.894 IAC-09.B2.5.5.pdf
18.10.2009  01:41           254.431 IAC-09.B2.5.4.pdf
18.10.2009  01:40         2.321.812 IAC-09.A3.I.10.pdf
18.10.2009  01:40           831.227 IAC-09.A3.I.8.pdf
18.10.2009  01:40           657.390 IAC-09.A3.I.6.pdf
18.10.2009  01:39           350.383 IAC-09.A3.I.2.pdf
18.10.2009  01:39           178.004 IAC-09.A3.2INT.5.pdf
18.10.2009  01:39            26.187 IAC-09.A3.2INT.1.pdf
18.10.2009  01:00           627.764 IAC-09.D3.3.5.show.pdf
18.10.2009  00:59         1.186.232 IAC-09.D3.3.1.pdf
18.10.2009  00:59            51.468 IAC-09.D3.3.3.pdf
18.10.2009  00:59           317.517 IAC-09.D2.5.8.pdf
18.10.2009  00:59           474.601 IAC-09.C4.7.-C3.5.1.pdf
18.10.2009  00:59         1.924.270 IAC-09.C4.7.-C3.5.4.pdf
18.10.2009  00:58           207.412 IAC-09.C4.7.-C3.5.2.pdf
18.10.2009  00:58           369.238 IAC-09.C1.6.2.pdf
18.10.2009  00:57           307.978 IAC-09.B5.2.4.pdf
18.10.2009  00:57           444.934 IAC-09.B4.6A.3.pdf
18.10.2009  00:56         1.117.775 IAC-09.B2.4.3.pdf
18.10.2009  00:55           232.733 IAC-09.C1.5.11.pdf
18.10.2009  00:55         3.526.406 IAC-09.C1.5.7.pdf
18.10.2009  00:55           174.057 IAC-09.C1.5.8.pdf
18.10.2009  00:55         1.147.998 IAC-09.C1.5.5.pdf
18.10.2009  00:54           716.860 IAC-09.C1.5.2.pdf
17.10.2009  09:27           345.362 IAC-09.B3.3.8.pdf
17.10.2009  09:27         1.364.927 IAC-09.B3.3.6.pdf
28.10.2006  00:14           145.184 ose00000.exe
              54 Datei(en)     53.379.147 Bytes
               0 Verzeichnis(se), 58.922.733.568 Bytes frei
         
__________________

Alt 01.11.2009, 16:46   #4
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Dann gibts dazu die installierten Programme aus dem CCleaner:

Code:
ATTFilter
7-Zip 4.65
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 8.1.0 - Deutsch
Asus ACPI Driver
ASUSUpdate for Eee PC
Atheros Client Installation Program
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
AVG Free 8.5
Azurewave Wireless LAN
Canon CanoScan Toolbox 4.1
CCleaner (remove only)
Cortona3D Viewer
DAEMON Tools Toolbar
Eee Instant Key
Eee Storage
ETDWare PS/2-x86 7.0.4.3 WHQL
FreePDF (Remove only)
GPL Ghostscript 8.70
Idoswin Free 3.6
Intel(R) Debugger 9.1
Intel(R) Graphics Media Accelerator Driver
Intel(R) Visual Fortran Compiler 9.1
Intel(R) Visual Fortran Compiler 9.1 Integrations in Microsoft Visual Studio*
Java(TM) 6 Update 14
MATLAB R2007b
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Enterprise 2007
Microsoft Office Language Pack 2007 - German/Deutsch
Microsoft Office Project Language Pack 2007 - German/Deutsch
Microsoft Office Project Professional 2007
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual J# .NET Redistributable Package 1.1
Microsoft Visual Studio .NET Professional 2003 - Deutsch
MiKTeX 2.7
Mozilla Firefox (3.5.2)
Mozilla Thunderbird (2.0.0.23)
MSDN Library für Visual Studio .NET 2003 - Deutsch
MSXML 4.0 SP2 (KB954430)
MyPhoneExplorer
Realtek High Definition Audio Driver
RedMon - Redirection Port Monitor
Rosetta Stone Version 3
Schneller lesen - mehr behalten, Standard
Skype™ 3.6
Spybot - Search & Destroy
Super Hybrid Engine
TeXnicCenter Version 1.0 Stable RC1
Turbo Lister 2
USB 2.0 1.3M UVC WebCam
Visual J# .NET Redistributable 1.1- German Language Pack
VLC media player 0.9.9
Vuze
WIDCOMM Bluetooth Software
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live Sync
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Player 11
WinMerge 2.12.4
Zattoo 3.3.4 Beta
ZoneAlarm
         

Alt 01.11.2009, 21:32   #5
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Hier dann jetzt auch das GMER File:

Code:
ATTFilter
GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-01 22:24:45
Windows 5.1.2600 Service Pack 3
Running: ebqpzzl7.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\fxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwConnectPort [0xA2839040]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateFile [0xA2835930]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateKey [0xA2840A80]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreatePort [0xA2839510]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateProcess [0xA283F870]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateProcessEx [0xA283FAA0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateSection [0xA2842FD0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwCreateWaitablePort [0xA2839600]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwDeleteFile [0xA2835F20]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwDeleteKey [0xA28416E0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwDeleteValueKey [0xA2841440]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwDuplicateObject [0xA283F580]
SSDT            spdi.sys                                                                                                            ZwEnumerateKey [0xB9EC5CA4]
SSDT            spdi.sys                                                                                                            ZwEnumerateValueKey [0xB9EC6032]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwLoadKey [0xA28418B0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwOpenFile [0xA2835D70]
SSDT            spdi.sys                                                                                                            ZwOpenKey [0xB9EA70C0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwOpenProcess [0xA283F350]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwOpenThread [0xA283F150]
SSDT            spdi.sys                                                                                                            ZwQueryKey [0xB9EC610A]
SSDT            spdi.sys                                                                                                            ZwQueryValueKey [0xB9EC5F8A]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwRenameKey [0xA2842250]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwReplaceKey [0xA2841CB0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwRequestWaitReplyPort [0xA2838C00]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwRestoreKey [0xA2842080]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwSecureConnectPort [0xA2839220]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwSetInformationFile [0xA2836120]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwSetValueKey [0xA2841140]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                         ZwTerminateProcess [0xA283FCD0]

INT 0x62        ?                                                                                                                   8A406BF8
INT 0x63        ?                                                                                                                   898C4BF8
INT 0x83        ?                                                                                                                   8A397BF8
INT 0xA4        ?                                                                                                                   898C4BF8
INT 0xB4        ?                                                                                                                   898C4BF8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2C7C                                                                                80504518 12 Bytes  [10, 95, 83, A2, 70, F8, 83, ...]
?               spdi.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !
?               srescan.sys                                                                                                         Das System kann die angegebene Datei nicht finden. !
.text           USBPORT.SYS!DllUnload                                                                                               B86118AC 5 Bytes  JMP 898C41D8 
.text           af72u7au.SYS                                                                                                        B30F2386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text           af72u7au.SYS                                                                                                        B30F23AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           af72u7au.SYS                                                                                                        B30F23C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text           af72u7au.SYS                                                                                                        B30F23C9 1 Byte  [30]
.text           af72u7au.SYS                                                                                                        B30F23C9 11 Bytes  [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text           ...                                                                                                                 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [B9EA8042] spdi.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [B9EA813E] spdi.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                 [B9EA80C0] spdi.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                         [B9EA8800] spdi.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                 [B9EA86D6] spdi.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                  [B9EB7E9C] spdi.sys
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KfAcquireSpinLock]                                                18C4830E
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!READ_PORT_UCHAR]                                                  1C8D9E88
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KeGetCurrentIrql]                                                 9E880000
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KfRaiseIrql]                                                      00001CA9
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KfLowerIrql]                                                      0E798366
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!HalGetInterruptVector]                                            74AAB000
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!HalTranslateBusAddress]                                           8186C636
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KeStallExecutionProcessor]                                        1A00001C
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!KfReleaseSpinLock]                                                1C8386C6
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          C6020000
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!READ_PORT_USHORT]                                                 001C8E86
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                         86C60200
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                 00001CAA
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[WMILIB.SYS!WmiSystemControl]                                              8800001C
IAT             \SystemRoot\System32\Drivers\af72u7au.SYS[WMILIB.SYS!WmiCompleteRequest]                                            001CB19E
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                            [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                 [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                              [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                   [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                  [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                             [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                           [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                 [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                  [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                   [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                    [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                               [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                              [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                   [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                  [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                             [A283DCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                           [A283DE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                 [A283E320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                  [A283E1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              8A3961F8
Device          \Driver\Tcpip \Device\Ip                                                                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\usbehci \Device\USBPDO-0                                                                                    898951F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    898C21F8
Device          \Driver\sptd \Device\311011836                                                                                      spdi.sys
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    898C21F8
Device          \Driver\PCI_PNP0586 \Device\00000046                                                                                spdi.sys
Device          \Driver\usbuhci \Device\USBPDO-3                                                                                    898C21F8
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                    898C21F8
Device          \Driver\Tcpip \Device\Tcp                                                                                           vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                           fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              8A3981F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                              8A3981F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                        896BB500
Device          \Driver\iaStor \Device\Ide\iaStor0                                                                                  [B9D86720] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  [B9E20B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                                                       [B9D86720] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                              8A3981F8
Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                              8A3981F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                             896D2500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    896D2500
Device          \Driver\Tcpip \Device\Udp                                                                                           vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                           fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device          \Driver\Tcpip \Device\RawIp                                                                                         vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                         fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    898C21F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    898C21F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                   896F2500
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    898C21F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                         896F2500
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                    898C21F8
Device          \Driver\usbehci \Device\USBFDO-4                                                                                    898951F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                    8A3981F8
Device          \Driver\af72u7au \Device\Scsi\af72u7au1                                                                             897D6500
Device          \Driver\af72u7au \Device\Scsi\af72u7au1Port2Path0Target0Lun0                                                        897D6500
Device          \FileSystem\Fastfat \Fat                                                                                            8982A500
Device          \FileSystem\Fastfat \Fat                                                                                            A08ED297

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                              897D7500



---- EOF - GMER 1.0.15 ----
         


Alt 01.11.2009, 21:33   #6
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Und hier der Rest vom Gmer:

Code:
ATTFilter
---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x10 0xD0 0xA9 0x98 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x5F 0xFE 0xB3 0xDB ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x8B 0x73 0x90 0x3E ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x10 0xD0 0xA9 0x98 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x5F 0xFE 0xB3 0xDB ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x8B 0x73 0x90 0x3E ...
         

Alt 01.11.2009, 23:25   #7
kira
/// Helfer-Team
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



hi

1.
Code:
ATTFilter
Vuze
         
Zitat:
Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Alt 02.11.2009, 05:09   #8
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Kaspersky findet beim scannen nichts. Hier der Report:

Code:
ATTFilter
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Monday, November 2, 2009
 Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Sunday, November 01, 2009 20:11:50
 Records in database: 3112596
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\

Scan statistics:
	Objects scanned: 139984
	Threats found: 0
	Infected objects found: 0
	Suspicious objects found: 0
	Scan duration: 03:53:27

No threats found. Scanned area is clean.

Selected area has been scanned.
         

Alt 02.11.2009, 06:39   #9
kira
/// Helfer-Team
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Punkt 2. - mit Malwarebytes bitte weiter-> http://www.trojaner-board.de/78975-t...tml#post477716

Alt 02.11.2009, 18:58   #10
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Hier der Malware Report:
Findet zwar was, aber das ist schon merkwürdig. Antivirenschutz nicht wieder aktiv. Hatte das eigentlich wieder angestellt. Fragt sich warum der Residenter vom AVG nicht wieder angesprungen ist. Entfernt und Neugestartet. Jetzt noch der neue HijackThis Report.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3081
Windows 5.1.2600 Service Pack 3

02.11.2009 19:46:24
mbam-log-2009-11-02 (19-46-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 249323
Laufzeit: 1 hour(s), 5 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Alt 02.11.2009, 19:03   #11
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



So, das Hijackthislog:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:31, on 02.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\WINDOWS\system32\igfxext.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\JavaJRE6U14\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes-Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: BTTray.lnk.disabled
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{32385EF2-8906-42DE-9030-637A2287B71D}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6973 bytes
         

Alt 02.11.2009, 19:09   #12
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Ich denke auch, dass ich den Trojaner von Vuze habe. Die Frage ist nur, krieg ich den wieder weg? Nachdem ich versuchte den manuell zu löschen, hat sich das Verzeichnis halt immer wieder selbst erstellt.
Nachdem ich ihn von AVG in die Quarantäne verschoben lassen hab, konnte ich das Verzeichnis löschen und anschließend den Virus, ohne das er sich wieder selbst erstellt hat. Allerdings wurde er nach dem nächsten Boot im System Volume Verzeichnis, in einer anderen .exe wieder entdeckt. Den hab ich jetzt einfach nur in die Quarantäne geschoben, ohne ihn zu entfernen.

Da frag ich mich jetzt halt:
1) War der nur per Systemwiederherstellungspunkt im System Volume Information Ordner? Warum wurde der dann vorher nicht dort gefunden
2) Kann der Virus noch Schaden anrichten, wenn er sich in der Quarantäne befindet? Oder kann ich den da lassen und alles ist gut. Weil er bisher ja nicht wieder gefunden wurde.
3) Löschen und nochmal schauen ob er wieder woanders auftaucht? Bisher hat ihn der AVG Residenter immer gefunden.

Danke schon mal für die Hilfe bisher.
Grüße
hockeygott

Alt 02.11.2009, 20:56   #13
kira
/// Helfer-Team
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



hi

aus der Quarantäne kann kein Schade mehr einrichten

1.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

2.
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann
Zitat:
Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!
- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

Alt 04.11.2009, 20:48   #14
hockeygott
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



Hier das Logfile vom Combofix. Dort taucht auch unter "Andere Dienste/Treiber im Speicher" besagte ms.exe auf.

Code:
ATTFilter
ComboFix 09-11-04.02 - Admin 04.11.2009 21:22.1.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2039.1548 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1069355093-3870042189-2135761732-1003
G:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2009-10-04 bis 2009-11-04  ))))))))))))))))))))))))))))))
.

2010-04-10 15:21 . 2008-08-26 08:02	1580	----a-w-	c:\windows\Uninstsxga.bat
2010-04-10 15:21 . 2008-08-11 08:14	1752704	----a-w-	c:\windows\system32\drivers\snp2uvc.sys
2010-04-10 15:21 . 2008-06-25 17:38	2052	----a-w-	c:\windows\Uninstvga.bat
2010-04-10 15:21 . 2008-06-25 17:00	1682	----a-w-	c:\windows\Uninstuxga.bat
2010-04-10 15:21 . 2008-05-22 07:52	294912	----a-w-	c:\windows\system32\vsnp2uvc.dll
2010-04-10 15:21 . 2008-05-12 09:20	28672	----a-w-	c:\windows\system32\drivers\sncduvc.sys
2010-04-10 15:21 . 2008-03-21 19:44	384	----a-w-	c:\windows\Uninstvga.reg
2010-04-10 15:21 . 2008-03-21 19:44	386	----a-w-	c:\windows\Uninstsxga.reg
2010-04-10 15:21 . 2008-03-21 19:38	386	----a-w-	c:\windows\Uninstuxga.reg
2010-04-10 15:21 . 2006-11-23 20:20	11776	----a-w-	c:\windows\DrvInst.exe
2010-04-10 15:20 . 2010-04-10 15:20	--------	d-----w-	c:\programme\Gemeinsame Dateien\SNP2UVC

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-10 15:23 . 2009-03-02 08:46	--------	d-----w-	c:\programme\ASUS
2010-04-10 12:51 . 2010-03-02 08:11	76487	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-02 08:12 . 2010-03-02 08:12	--------	d-----w-	c:\programme\microsoft frontpage
2010-03-02 08:10 . 2010-03-02 08:10	--------	d-----w-	c:\programme\Online-Dienste
2010-03-02 08:10 . 2010-03-02 08:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2010-03-02 08:10 . 2010-03-02 08:10	21740	----a-w-	c:\windows\system32\emptyregdb.dat
2009-11-04 19:57 . 2009-06-05 22:49	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Skype
2009-11-04 19:55 . 2009-06-05 20:51	126728	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-11-04 19:55 . 2009-06-05 20:51	11196448	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-11-04 19:54 . 2009-06-13 13:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-02 21:38 . 2009-06-05 19:59	--------	d-----w-	c:\programme\Mozilla Thunderbird
2009-11-02 05:15 . 2009-11-02 05:15	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2009-11-02 05:15 . 2009-11-02 05:15	--------	d-----w-	c:\programme\Malwarebytes-Anti-Malware
2009-11-02 05:15 . 2009-11-02 05:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-01 16:40 . 2009-11-01 16:40	--------	d-----w-	c:\programme\CCleaner
2009-11-01 13:07 . 2009-06-05 23:21	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-11-01 13:06 . 2009-06-05 23:21	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\MyPhoneExplorer
2009-10-31 16:42 . 2009-10-31 16:42	18385359	----a-w-	c:\windows\Internet Logs\vsmon_on_demand_2009_10_31_17_32_37_full.dmp.zip
2009-10-31 11:07 . 2010-03-02 07:59	85070	----a-w-	c:\windows\system32\perfc007.dat
2009-10-31 11:07 . 2010-03-02 07:59	459728	----a-w-	c:\windows\system32\perfh007.dat
2009-10-31 11:00 . 2009-10-31 16:32	1694720	----a-w-	c:\windows\Internet Logs\xDBF.tmp
2009-10-30 19:08 . 2009-10-31 08:50	2887680	----a-w-	c:\windows\Internet Logs\xDBD.tmp
2009-10-30 19:04 . 2009-10-31 08:50	1684480	----a-w-	c:\windows\Internet Logs\xDBE.tmp
2009-10-30 17:38 . 2009-06-05 19:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-10-30 15:14 . 2009-07-13 18:20	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Azureus
2009-10-30 14:25 . 2009-06-13 13:29	--------	d-----w-	c:\programme\SpybotSearchDestroy
2009-10-19 19:56 . 2009-10-21 03:24	1673728	----a-w-	c:\windows\Internet Logs\xDBC.tmp
2009-10-18 10:36 . 2009-03-02 09:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-10-12 07:16 . 2009-10-30 17:47	2064152	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8\update\backup\avgcorex.dll
2009-10-12 07:16 . 2009-10-17 07:51	2023704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8\update\backup\avgtray.exe
2009-10-09 06:48 . 2009-06-06 19:23	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Canon
2009-10-07 20:20 . 2009-07-13 18:19	--------	d-----w-	c:\programme\Vuze
2009-10-01 15:18 . 2009-10-01 15:27	1615360	----a-w-	c:\windows\Internet Logs\xDBA.tmp
2009-10-01 15:18 . 2009-10-01 15:27	1641472	----a-w-	c:\windows\Internet Logs\xDBB.tmp
2009-09-25 09:37 . 2009-09-25 09:37	--------	d-----w-	c:\programme\Gemeinsame Dateien\ParallelGraphics
2009-09-25 09:33 . 2009-09-25 09:33	--------	d-----w-	c:\programme\7-Zip
2009-09-18 19:23 . 2009-09-18 19:31	1628160	----a-w-	c:\windows\Internet Logs\xDB9.tmp
2009-09-18 19:23 . 2009-09-18 19:31	1162240	----a-w-	c:\windows\Internet Logs\xDB8.tmp
2009-09-13 06:55 . 2009-09-13 06:55	--------	d-----w-	c:\programme\FreePDF_XP
2009-09-13 06:55 . 2009-09-13 06:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreePDF
2009-09-13 06:54 . 2009-09-13 06:54	--------	d-----w-	c:\programme\Ghostscript
2009-09-13 06:28 . 2009-06-05 19:02	11952	----a-w-	c:\windows\system32\avgrsstx.dll
2009-09-13 06:28 . 2009-06-05 19:02	335240	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2009-09-13 06:28 . 2009-06-05 19:02	27784	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2009-09-12 10:57 . 2009-09-12 10:53	--------	d-----w-	c:\programme\WinMerge
2009-09-12 10:18 . 2009-06-05 22:15	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\vlc
2009-09-12 05:58 . 2009-09-12 06:19	1737728	----a-w-	c:\windows\Internet Logs\xDB7.tmp
2009-09-11 14:17 . 2010-03-02 07:58	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-10 13:54 . 2009-11-02 05:15	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 13:53 . 2009-11-02 05:15	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-04 21:03 . 2010-03-02 07:58	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-29 07:24 . 2010-03-02 07:58	832512	----a-w-	c:\windows\system32\wininet.dll
2009-08-29 07:24 . 2010-03-02 07:58	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-08-29 07:24 . 2010-03-02 07:58	17408	----a-w-	c:\windows\system32\corpol.dll
2009-08-26 08:00 . 2010-03-02 07:59	247326	----a-w-	c:\windows\system32\strmdll.dll
2009-08-12 17:41 . 2009-08-13 05:22	1584640	----a-w-	c:\windows\Internet Logs\xDB6.tmp
2009-08-12 17:41 . 2009-08-13 05:22	2798080	----a-w-	c:\windows\Internet Logs\xDB5.tmp
2009-08-11 13:56 . 2009-06-05 21:41	70456	----a-w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-07 08:34 . 2009-03-02 08:49	15523560	----a-w-	c:\programme\U1 Setup.exe
.

------- Sigcheck -------

[-] 2009-06-13 14:40 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\dllcache\ctfmon.exe
[-] 2009-06-13 14:40 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2008-07-25 09:16	282112	----a-w-	c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2008-07-25 09:16	282112	----a-w-	c:\windows\system32\mscoree.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-02-12 21898024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2009-01-23 416768]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-10-17 2025752]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes-Anti-Malware\mbam.exe" [2009-09-10 1312080]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk.disabled [2009-3-2 681]
SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-3-2 376832]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-09-13 06:28	11952	----a-w-	c:\windows\system32\avgrsstx.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"Alcmtr"=ALCMTR.EXE
"AsusTray"=c:\programme\EeePC\ACPI\AsTray.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"MaxMenuMgr"="c:\programme\SeagateManager\FreeAgent Status\StxMenuMgr.exe"
"Persistence"=c:\windows\system32\igfxpers.exe
"RTHDCPL"=RTHDCPL.EXE
"SunJavaUpdateSched"="c:\programme\JavaJRE6U14\bin\jusched.exe"
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Programme\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [05.06.2009 20:02 335240]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [05.06.2009 20:02 108552]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [05.06.2009 20:02 297752]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [02.03.2009 10:04 55136]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [02.03.2009 09:44 10752]
R3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [01.08.2008 03:24 93696]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02.03.2009 09:42 1684736]
S3 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [08.12.2008 17:01 533344]
S3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [04.11.2008 10:28 38400]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [02.03.2009 09:44 704384]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G3214441}]
c:\winlogonss\winlogons\MS.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\tq6omy7a.default\
FF - plugin: c:\programme\Gemeinsame Dateien\ParallelGraphics\Cortona\npCortona.dll
FF - plugin: c:\programme\JavaJRE6U14\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\programme\JavaJRE6U14\bin\new_plugin\npjp2.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npCortona.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-04 21:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys iaStor.sys spsn.sys hal.dll >>UNKNOWN [0x8A3B7938]<< 
kernel: MBR read successfully
user & kernel MBR OK 
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

iaStor.sys @ 0x0 0x0 bytes

\Driver\iaStor [ IRP_MJ_CREATE ] 0x43E6A != 0xB9D86720 iaStor.sys
\Driver\iaStor [ IRP_MJ_CLOSE ] 0x43E6A != 0xB9D86720 iaStor.sys
\Driver\iaStor [ IRP_MJ_DEVICE_CONTROL ] 0x40ED4 != 0xB9D86720 iaStor.sys
\Driver\iaStor [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x3DE74 != 0xB9D86720 iaStor.sys
\Driver\iaStor [ IRP_MJ_POWER ] 0x38FF0 != 0xB9D86720 iaStor.sys
\Driver\iaStor [ IRP_MJ_SYSTEM_CONTROL ] 0x38322 != 0xB9D86720 iaStor.sys
\Driver\iaStor IRP hooks detected !

**************************************************************************
.
Zeit der Fertigstellung: 2009-11-04 21:38
ComboFix-quarantined-files.txt  2009-11-04 20:38

Vor Suchlauf: 5 Verzeichnis(se), 58.621.771.776 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 58.584.965.120 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
         

Alt 06.11.2009, 18:15   #15
kira
/// Helfer-Team
 
Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Standard

Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe



hi

1.
- Malware-Scan mit a-squared Free
- Ohne Hintergrundwächter durchsucht a-squared den Computer auf div. schädlichen Programmen.
- Also lade a-squared Free von Emsisoft herunter
- Update das Programm und lass dein rechner komplett scannen
- Am Ende des Scans alle Funde löschen lassen und über den Button "Bericht speichern" das Log speichern und hier in den Thread posten.

2.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

3.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

Geändert von kira (06.11.2009 um 18:31 Uhr)

Antwort

Themen zu Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe
adobe, avg, avg free, bho, browser, eeepc, explorer, firefox, generic, google, hijack, hijackthis, internet, internet explorer, logfile, löschen, mozilla, ms.exe, neustart, programme, russische seite, senden, software, stick, super, toolbars, trojaner, trojaner generic, usb, windows, windows xp, winlogonss




Zum Thema Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe - Hallo zusammen, habe heute meinen USB Stick in einen anderen Rechner eingesteckt und da sagt mir das auf diesem installierte McAfee, dass sich in winlogonss\winlogons\ms.exe ein Trojaner verbirgt. Hab dann - Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe...
Archiv
Du betrachtest: Trojaner Generic14.CCEB c:\winlogonss\winlogons\ms.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.