| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit.Agent../System32/Drivers/Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.05.2010, 09:29
| #16 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Rootkit.Agent../System32/Drivers/Zitat:
Ist xx Dein echter Benutzername? Wohl kaum, den musst Du entsprechend dann anpassen (wenn ich scripts bzgl. Dateien in diesem Benutzerprofil poste) Werte diese Datei bitte mal bei Virustotal aus und poste den Ergebnislink.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
19.05.2010, 19:58
| #17 |
 | Rootkit.Agent../System32/Drivers/ Hallo,
__________________warum Antivir die Datei ignoriert hat, weiss ich nicht. XXX ist nicht der Benutzername. Ich habe den richtigen Benutzername überschrieben. Die Datei finde ich nicht in dem angegebenen Ordner. ich habe aber nichts verändert zu gestern. Alle "Ordner/Dateien anzeigen" habe ich auch in den Einstellungen angehakt. Wie kann das sein, dass die Datei nicht in dem Ordner ist? viele grüße Esther |
|
19.05.2010, 20:17
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit.Agent../System32/Drivers/ Konntest Du mit AntiVir die Datei nicht löschen?? Wurde nichts zur Auswahl angeboten was mit der Datei passieren soll?
__________________
__________________ |
|
19.05.2010, 20:22
| #19 |
| | Rootkit.Agent../System32/Drivers/ Ich hatte den Antivir am Montag abend nochmal durchlaufen lassen und die Datei anschliessend gelöscht. Gestern ist die Datei wieder als "Infiziert" angezeigt worden. Ich lasse gerade den Antivir nochmal durchlaufen und lösche die Datei nochmal. |
|
19.05.2010, 20:33
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit.Agent../System32/Drivers/ Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Du musst den unkenntlich gemachten Benutzernamen wieder in den richtigen verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter Filelook::
c:\users\xx\AppData\Roaming\NTDOS804N.dll
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.05.2010, 21:59
| #21 |
| | Rootkit.Agent../System32/Drivers/ Hallo, ich habe alles durchgeführt. Hier der Log: Code:
ATTFilter ComboFix 10-05-19.02 - Esther 19.05.2010 22:31:21.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.49.1031.18.2046.1037 [GMT 2:00]
ausgeführt von:: c:\users\Esther\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Esther\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: AntiVir Desktop *disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
((((((((((((((((((((((( Dateien erstellt von 2010-04-19 bis 2010-05-19 ))))))))))))))))))))))))))))))
.
2010-05-19 20:37 . 2010-05-19 20:37 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-05-19 20:37 . 2010-05-19 20:37 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-17 19:43 . 2010-05-17 19:43 -------- d-----w- C:\_OTL
2010-05-16 17:55 . 2010-05-16 18:01 -------- d-----w- c:\users\Esther\AppData\Roaming\Online Solutions
2010-05-16 15:04 . 2010-05-16 15:04 -------- d-----w- c:\program files\OperationChaos_at
2010-05-14 13:02 . 2010-05-14 13:02 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-05-14 08:40 . 2010-05-14 08:41 -------- d-----w- c:\program files\Sally's Studio Collector's Edition
2010-05-05 20:21 . 2010-05-17 05:12 -------- d-----w- c:\program files\CCleaner
2010-05-04 18:25 . 2010-05-09 15:11 -------- d-----w- c:\program files\Spybot - Search & Destroy b
2010-05-04 18:18 . 2010-05-04 18:23 -------- d-----w- c:\program files\TeaTimer (Spybot - Search & Destroy)
2010-05-04 18:18 . 2010-05-04 18:23 -------- d-----w- c:\program files\SDHelper (Spybot - Search & Destroy)
2010-05-04 18:18 . 2010-05-04 18:18 -------- d-----w- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2010-05-04 18:18 . 2010-05-04 18:18 -------- d-----w- c:\program files\File Scanner Library (Spybot - Search & Destroy)
2010-05-03 05:05 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2010-05-03 05:05 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2010-05-03 05:05 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2010-05-03 05:05 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2010-05-03 05:05 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2010-05-03 05:05 . 2010-05-15 18:25 -------- d-----w- c:\program files\Trojan Remover
2010-05-03 05:05 . 2010-05-03 05:05 -------- d-----w- c:\programdata\Simply Super Software
2010-05-02 15:42 . 2010-05-08 18:42 -------- d-----w- c:\users\Esther\AppData\Roaming\03343AE287F68AA8F685ED228E277A6D
2010-04-25 08:53 . 2010-04-25 08:54 -------- d-----w- c:\users\Esther\AppData\Roaming\Clickteam
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 05:15 . 2007-02-28 17:51 12 ----a-w- c:\windows\bthservsdp.dat
2010-05-18 20:39 . 2008-06-19 18:01 -------- d-----w- c:\programdata\Google Updater
2010-05-18 20:22 . 2007-06-14 18:16 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-05-17 21:01 . 2007-06-09 19:15 -------- d-----w- c:\programdata\PlayFirst
2010-05-16 07:36 . 2007-04-21 19:05 -------- d-----w- c:\programdata\Microsoft Help
2010-05-15 18:25 . 2008-04-21 16:50 -------- d-----w- c:\program files\Norton Security Scan
2010-05-08 18:16 . 2007-08-12 15:07 -------- d-----w- c:\program files\Sallys Salon
2010-05-08 07:44 . 2010-03-22 21:52 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-06 08:36 . 2009-10-03 08:26 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-05 16:48 . 2007-06-14 18:16 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-01 15:05 . 2009-06-13 08:15 -------- d-----w- c:\users\Esther\AppData\Roaming\ERS G-Studio
2010-05-01 10:22 . 2007-02-28 18:02 -------- d-----w- c:\program files\Common Files\Java
2010-04-29 13:39 . 2010-03-22 21:52 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-03-22 21:52 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-25 08:05 . 2009-08-12 11:12 -------- d-----w- c:\programdata\Namco
2010-04-18 16:52 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-18 15:05 . 2010-04-18 15:05 58368 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-18 15:05 . 2010-04-18 15:05 211968 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-18 15:05 . 2010-04-18 15:05 102400 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-18 15:04 . 2010-04-18 15:04 3502480 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-18 15:04 . 2010-04-18 15:04 3468168 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-18 15:03 . 2010-04-18 15:03 434176 ----a-w- c:\windows\system32\vbscript.dll
2010-04-18 14:56 . 2010-04-18 14:56 171520 ----a-w- c:\windows\system32\wintrust.dll
2010-04-18 14:54 . 2010-04-18 14:54 815104 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-18 14:54 . 2010-04-18 14:54 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-18 14:54 . 2010-04-18 14:54 22016 ----a-w- c:\windows\system32\netiougc.exe
2010-04-18 14:54 . 2010-04-18 14:54 179712 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-18 14:54 . 2010-04-18 14:54 167424 ----a-w- c:\windows\system32\tcpipcfg.dll
2010-04-18 14:54 . 2010-04-18 14:54 15360 ----a-w- c:\windows\system32\drivers\TUNMP.SYS
2010-04-18 14:53 . 2010-04-18 14:53 97792 ----a-w- c:\windows\system32\cabview.dll
2010-04-18 13:44 . 2010-04-18 13:44 -------- d-----w- c:\users\Esther\AppData\Roaming\Realore_DressUpRush
2010-04-16 18:15 . 2010-04-16 18:15 -------- d-----w- c:\users\Esther\AppData\Roaming\elsterformular
2010-04-16 18:14 . 2007-05-17 14:45 -------- d-----w- c:\program files\ElsterFormular
2010-04-16 17:46 . 2010-04-16 17:46 -------- d-----w- c:\programdata\elsterformular
2010-04-13 17:47 . 2010-04-13 17:47 -------- d-----w- c:\users\Esther\AppData\Roaming\Avira
2010-04-11 18:03 . 2007-02-28 18:03 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-09 09:57 . 2010-04-09 09:57 -------- d-----w- c:\program files\Diner Dash 5 Boom!
2010-04-07 11:49 . 2010-02-06 18:43 -------- d-----w- c:\users\Esther\AppData\Roaming\Oberon Media
2010-04-06 09:14 . 2008-10-11 19:44 -------- d-----w- c:\programdata\AlawarWrapper
2010-04-05 15:19 . 2007-03-05 18:11 -------- d-----w- c:\users\Esther\AppData\Roaming\Roxio
2010-04-04 16:28 . 2010-04-04 16:28 -------- d-----w- c:\users\Esther\AppData\Roaming\Frogwares
2010-04-04 14:51 . 2010-04-04 14:51 -------- d-----w- c:\users\Esther\AppData\Roaming\Silverback Productions
2010-04-02 13:45 . 2008-12-26 10:20 -------- d-----w- c:\programdata\InterAction studios
2010-03-29 19:16 . 2006-11-02 15:33 641344 ----a-w- c:\windows\system32\perfh007.dat
2010-03-29 19:16 . 2006-11-02 15:33 116706 ----a-w- c:\windows\system32\perfc007.dat
2010-03-27 17:51 . 2010-03-27 17:51 61440 --sha-r- c:\users\Esther\AppData\Roaming\NTDOS804N.dll
2010-03-27 17:51 . 2010-03-27 17:51 61440 --sha-r- c:\users\Esther\AppData\Roaming\NTDOS804N.dll
2010-03-27 17:37 . 2010-03-27 17:37 -------- d-----w- c:\users\Esther\AppData\Roaming\Happyville__
2010-03-22 21:52 . 2010-03-22 21:52 -------- d-----w- c:\users\Esther\AppData\Roaming\Malwarebytes
2010-03-22 21:52 . 2010-03-22 21:52 -------- d-----w- c:\programdata\Malwarebytes
2010-03-21 15:01 . 2010-03-21 15:01 -------- d-----w- c:\users\Esther\AppData\Roaming\Pirate Stories Kit Ellis
2010-03-21 13:06 . 2007-06-09 19:15 -------- d-----w- c:\users\Esther\AppData\Roaming\PlayFirst
2010-03-20 21:31 . 2010-03-20 20:35 -------- d-----w- c:\programdata\SZ
2010-03-13 18:45 . 2010-03-13 18:45 396800 ----a-w- c:\windows\system32\drivers\http.sys
2010-03-13 18:45 . 2010-03-13 18:45 31232 ----a-w- c:\windows\system32\httpapi.dll
2010-03-13 18:45 . 2010-03-13 18:45 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-03-13 13:39 . 2010-03-13 13:39 268435456 --sha-w- C:\WinPEpge.sys
2010-03-07 16:41 . 2010-03-07 16:41 1923768 ----a-w- c:\programdata\NOS\Adobe_Downloads\install_flash_player.exe
2010-03-07 16:41 . 2010-03-07 16:41 1025992 ----a-w- c:\programdata\NOS\Adobe_Downloads\SecurityScan_Release.exe
2010-03-06 16:48 . 2007-03-05 18:10 117808 ----a-w- c:\users\Esther\AppData\Local\GDIPFONTCACHEV1.DAT
2010-03-06 14:01 . 2009-10-22 20:02 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-06 13:53 . 2010-03-06 13:53 2048 ----a-w- c:\windows\system32\tzres.dll
2010-03-06 13:52 . 2010-03-06 13:52 435712 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-03-06 13:52 . 2010-03-06 13:52 312320 ----a-w- c:\windows\system32\msdrm.dll
2010-03-06 13:52 . 2010-03-06 13:52 154112 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-03-06 13:52 . 2010-03-06 13:52 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-03-06 13:52 . 2010-03-06 13:52 515584 ----a-w- c:\windows\system32\RMActivate.exe
2010-03-06 13:52 . 2010-03-06 13:52 473088 ----a-w- c:\windows\system32\secproc_isv.dll
2010-03-06 13:52 . 2010-03-06 13:52 472576 ----a-w- c:\windows\system32\secproc.dll
2010-03-06 13:52 . 2010-03-06 13:52 431104 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-03-06 13:52 . 2010-03-06 13:52 154624 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-03-01 07:05 . 2009-12-31 08:58 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-19 19:01 . 2010-02-19 19:01 1233160 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-02-19 18:31 . 2010-03-06 17:35 31936 ----a-w- c:\users\Esther\AppData\Roaming\Mozilla\Firefox\Profiles\0jlbbrhk.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
2010-02-19 18:31 . 2010-03-06 17:35 29344 ----a-w- c:\users\Esther\AppData\Roaming\Mozilla\Firefox\Profiles\0jlbbrhk.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
2010-02-19 18:20 . 2010-02-19 18:20 84992 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-02-19 18:20 . 2010-02-19 18:20 306688 ----a-w- c:\windows\system32\drivers\srv.sys
2010-02-19 18:08 . 2010-02-19 18:08 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2010-02-19 18:08 . 2010-02-19 18:08 22528 ----a-w- c:\windows\system32\msyuv.dll
2010-02-19 18:08 . 2010-02-19 18:08 11776 ----a-w- c:\windows\system32\tsbyuv.dll
2010-02-19 18:08 . 2010-02-19 18:08 65024 ----a-w- c:\windows\system32\avicap32.dll
2010-02-19 18:08 . 2010-02-19 18:08 1327616 ----a-w- c:\windows\system32\quartz.dll
2010-02-19 18:08 . 2010-02-19 18:08 123904 ----a-w- c:\windows\system32\msvfw32.dll
2010-02-19 18:08 . 2010-02-19 18:08 88576 ----a-w- c:\windows\system32\avifil32.dll
2010-02-19 18:08 . 2010-02-19 18:08 82944 ----a-w- c:\windows\system32\mciavi32.dll
2010-02-19 18:08 . 2010-02-19 18:08 31232 ----a-w- c:\windows\system32\msvidc32.dll
2010-02-19 18:08 . 2010-02-19 18:08 13312 ----a-w- c:\windows\system32\msrle32.dll
2007-05-28 13:13 . 2007-05-28 13:13 774144 ----a-w- c:\program files\RngInterstitial.dll
2010-02-04 19:09 . 2010-02-04 19:09 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2007-03-01 01:45 . 2007-03-01 01:44 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
--- c:\users\Esther\AppData\Roaming\NTDOS804N.dll ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File size: 61440
Created time: 2010-03-27 17:51
Modified time: 2010-03-27 17:51
MD5: !HASH: COULD NOT OPEN FILE !!!!!
SHA1: !HASH: COULD NOT OPEN FILE !!!!!
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-11 1232896]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy b\TeaTimer.exe" [2009-03-05 2260480]
"DellSupport"="c:\program files\DellSupport\DSAgnt.exe" [2006-11-12 446976]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-04-11 1006264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-17 815104]
"SigmatelSysTrayApp"="sttray.exe" [2006-12-01 303104]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 81920]
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"RoxioDragToDisc"="c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-02-04 30192]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2006-10-13 184320]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 221184]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"FLMOFFICE4DMOUSE"="c:\program files\Browser Mouse\mouse32a.exe" [2007-05-28 360448]
"TMRUBottedTray"="c:\program files\Trend Micro\RUBotted\TMRUBottedTray.exe" [2007-12-18 288088]
"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2008-09-11 339240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
" Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-08-04 1068424]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2007-2-28 50688]
QuickSet.lnk - c:\windows\Installer\{53A01CC6-14B0-4512-A2E7-10D39BF83DC4}\NewShortcut2_53A01CC614B04512A2E710D39BF83DC4.exe [2007-2-28 45056]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [x]
R2 gupdate1c9ed0ea1ae75a0;Google Update Service (gupdate1c9ed0ea1ae75a0);c:\program files\Google\Update\GoogleUpdate.exe [2009-06-14 133104]
R2 RUBotted;Trend Micro RUBotted Service;c:\program files\Trend Micro\RUBotted\TMRUBotted.exe [2007-12-18 517456]
R3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-02-04 30192]
R3 HRService;Haufe iDesk-Service in c:\program files\Haufe\iDesk\iDeskService\Zope;c:\program files\Haufe\iDesk\iDeskService\iDeskService.exe [2008-08-20 70336]
R3 TMPassthru;Trend Micro Passthru Ndis Service;c:\windows\system32\DRIVERS\TMPassthru.sys [2007-11-27 35216]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy b\SDWinSec.exe [2009-01-26 1153368]
S3 TMPassthruMP;TMPassthruMP;c:\windows\system32\DRIVERS\TMPassthru.sys [2007-11-27 35216]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
getPlusHelper REG_MULTI_SZ getPlusHelper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-04-02 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]
2010-05-19 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-06-19 20:38]
2010-05-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-14 16:38]
2010-05-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-14 16:38]
2010-04-02 c:\windows\Tasks\Norton Security Scan.job
- c:\program files\Norton Security Scan\Nss.exe [2007-04-19 20:42]
2010-05-19 c:\windows\Tasks\User_Feed_Synchronization-{4F1AD747-E258-45ED-95D5-4AE40737C6A0}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.iplay.com/?o=shp
FF - ProfilePath - c:\users\Esther\AppData\Roaming\Mozilla\Firefox\Profiles\0jlbbrhk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo!
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npMyGames.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll
FF - plugin: c:\program files\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-19 22:37
Windows 6.0.6000 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'Explorer.exe'(6028)
c:\program files\Browser Mouse\MOUDL32A.DLL
.
Zeit der Fertigstellung: 2010-05-19 22:40:22
ComboFix-quarantined-files.txt 2010-05-19 20:40
ComboFix2.txt 2010-05-18 20:51
Vor Suchlauf: 30 Verzeichnis(se), 93.871.501.312 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 93.841.227.776 Bytes frei
- - End Of File - - ECDD8234BEDFC3E3283BDE8BD34F81D2
|
|
20.05.2010, 09:10
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit.Agent../System32/Drivers/ Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete:
c:\users\Esther\AppData\Roaming\NTDOS804N.dll
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.05.2010, 17:23
| #23 |
| | Rootkit.Agent../System32/Drivers/ hallo, hier ist der Link zu dem Backup: File-Upload.net - backup.zip und hier der Log: Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\users\Esther\AppData\Roaming\NTDOS804N.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. Danke und Gruß |
|
20.05.2010, 19:20
| #24 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit.Agent../System32/Drivers/ Du hast die Datei nicht richtig verlinkt, bitte den Link richtig nochmal posten.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.05.2010, 19:30
| #25 |
| | Rootkit.Agent../System32/Drivers/ hxxp://www.file-upload.net/download-2532616/backup.zip.html Ich glaube nicht, dass es so richtig ist. Ich bekomme das nicht hin. Ich habe das noch nicht gemacht. Sorry! antivir findet den TR/crypt.xpack.gen.2 immernoch? Der Lauf ist alledings noch nicht beendet. Kann es auch sein, dass es eine falsche Meldung ist? Danke und Gruß Geändert von Fanta (20.05.2010 um 19:48 Uhr) Grund: versuch einen Link zu posten -;) |
|
20.05.2010, 20:04
| #26 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit.Agent../System32/Drivers/Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.05.2010, 20:24
| #27 | |
| | Rootkit.Agent../System32/Drivers/Zitat:
Danke und Gruß |
|
21.05.2010, 18:52
| #28 |
| | Rootkit.Agent../System32/Drivers/ Hallo, ich habe den antivir nochmal laufe lassen. Leider findet er immernoch den Fund  Ich habe die Datei mal belassen, um auf weiteren Rat zu warten. Was kann ich noch tun, um diesen endgültig zu beseitigen. Waren in dem Avenger-Log Aufälligkeiten? Danke für die Hilfe und Gruß Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 21. Mai 2010 17:42
Es wird nach 2141144 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ESTHER-PC
Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 16:55:50
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 16:55:50
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 09:01:37
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:24:40
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:12:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 18:43:33
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:45:54
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 17:45:54
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 17:45:55
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 17:45:55
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 17:45:55
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 17:45:55
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 17:45:55
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 17:45:55
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 17:45:55
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 16:57:10
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 16:57:13
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 16:57:10
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 16:11:02
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 16:41:25
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 17:11:59
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 20:07:02
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 19:46:39
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 17:02:54
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 14:31:00
VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 16:07:10
VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 17:19:25
VBASE026.VDF : 7.10.7.140 2048 Bytes 19.05.2010 17:19:25
VBASE027.VDF : 7.10.7.141 2048 Bytes 19.05.2010 17:19:25
VBASE028.VDF : 7.10.7.142 2048 Bytes 19.05.2010 17:19:25
VBASE029.VDF : 7.10.7.143 2048 Bytes 19.05.2010 17:19:25
VBASE030.VDF : 7.10.7.144 2048 Bytes 19.05.2010 17:19:25
VBASE031.VDF : 7.10.7.149 59904 Bytes 20.05.2010 17:19:26
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 16:57:13
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 12.05.2010 18:58:30
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 18:58:29
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 16:57:13
AERDL.DLL : 8.1.4.6 541043 Bytes 17.04.2010 17:46:02
AEPACK.DLL : 8.2.1.1 426358 Bytes 14.04.2010 17:45:58
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12.05.2010 18:58:29
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 06.05.2010 19:46:45
AEHELP.DLL : 8.1.11.3 242039 Bytes 14.04.2010 17:45:55
AEGEN.DLL : 8.1.3.9 377203 Bytes 12.05.2010 18:58:28
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 16:57:12
AECORE.DLL : 8.1.15.3 192886 Bytes 12.05.2010 18:58:28
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 16:57:11
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 16:55:50
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 16:55:50
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 16:55:49
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 16:55:49
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Freitag, 21. Mai 2010 17:42
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wermgr.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'CPSHelpRunner.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxMediaDB9.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.EXE' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMRUBotted.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'DSAgnt.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMRUBottedTray.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'mouse32a.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrgToDsc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxWatchTray9.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '140' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxWatch9.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '386' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <OS>
C:\Avenger\NTDOS804N.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
Beginne mit der Suche in 'D:\' <RECOVERY>
Beginne mit der Desinfektion:
C:\Avenger\NTDOS804N.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[WARNUNG] Die Datei wurde ignoriert.
Ende des Suchlaufs: Freitag, 21. Mai 2010 19:20
Benötigte Zeit: 1:38:01 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
23409 Verzeichnisse wurden überprüft
358847 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
358846 Dateien ohne Befall
1548 Archive wurden durchsucht
1 Warnungen
0 Hinweise
510595 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
|
|
21.05.2010, 20:39
| #29 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Rootkit.Agent../System32/Drivers/ Die Datei wurde doch nur in C:\Avenger gefunden!? Dann war das Löschen erfolgreich, denn der Avenger behält eine Sicherheitskopie davon und löscht die Datei im angegebenen Verzeichnis!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.05.2010, 20:59
| #30 |
| | Rootkit.Agent../System32/Drivers/ Mmh, dann ist es so in Ordnung? Ich muss nichts weiter mit der Datei unternehmen? Danke und Gruß |
|
| Themen zu Rootkit.Agent../System32/Drivers/ |
| action, anti-malware, brauche, bösartige, cc cleaner, cleaner, dateien, entferne, entfernen, erneute, explorer, folge, folgendes, gefunde, minute, objekte, problem, rootkit.agent, scan, system, system32, taken, taucht, version, verzeichnisse |
Linear-Darstellung
