Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen in C:\Programme\WebEx\

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.09.2010, 21:16   #1
Butterbreze
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Hallo,

bei einem Virenscan wurde Dropper.Gen gefunden, bei darauffolgenden Scans noch mehr Malware.
Ich bin mir nicht sicher, ob ich mit dem Vorgehen nach Eurer Anleitung schon mein System bereinigt habe...

Ausgangspunkt >

Bei einem routinemässigen Viren-Scan mit Avira Antivir wurde am 28.09.2010 Malware gefunden:
Zitat:
Die Datei 'C:\Programme\WebEx\WebEx\824\atpdppta.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde erfolgreich überschrieben!
Die Datei wurde gelöscht.
und
Zitat:
Die Datei 'C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1515\A0181867.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde erfolgreich überschrieben!
Die Datei wurde gelöscht.
Bei einem anschliessenden Scan mit eScan wurde unter anderem Folgendes gefunden:

Zitat:
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir Workstation\INFECTED\45389a1f.qua ist durch den Virus "Trojan.HTML.Clicker.AA (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Firefox\2.0.0.17\2009.03.19T00.53\Virtual\STUBEXE\@PROGRAMFILES@\Mozilla Firefox\firefox.exe ist durch den Virus "Backdoor.Generic.219007 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ccgurt9q.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174242.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174243.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174244.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174245.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174246.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174247.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174248.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174249.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174250.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174251.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174252.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174253.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174254.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174255.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174256.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174257.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174258.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174260.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174261.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174262.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174263.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174264.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174265.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP46C.tmp\mscorlib.dll ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Die ersten 3 Dateien habe ich von Hand gelöscht, danach dann "Datenträger-Bereinigung" > "Temporäre Dateien" beseitigt und die Optionen "Weitere" > "Systemwiederherstellung bereinigt" durchgeführt.

Danach habe ich das Programm Load.exe wie von Trojaner-Board empfohlen ausgeführt.
Anbei alle Logfiles.
Welche weiteren Schritte kann / muss ich durchführen?

Herzliche Grüße
Butterbreze

Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:45 on 30/09/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Zitat:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-30 18:17:10
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\uftdqpoc.sys


---- System - GMER 1.0.15 ----

SSDT F7BA0AE4 ZwCreateThread
SSDT F7BA0AD0 ZwOpenProcess
SSDT F7BA0AD5 ZwOpenThread
SSDT F7BA0ADF ZwTerminateProcess
SSDT F7BA0ADA ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6122360, 0x24BB1D, 0xE8000020]
init C:\WINDOWS\System32\drivers\AsfAlrt.sys entry point in "init" section [0xF77B92A0]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device \FileSystem\Fastfat \Fat 9BAE9D20
Device \FileSystem\Fastfat \Fat 9BB01631

AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.15 ----
Angehängte Dateien
Dateityp: txt mbam-log-2010-09-30 (16-29-03).txt (1,0 KB, 186x aufgerufen)
Dateityp: txt Extras.Txt (48,3 KB, 429x aufgerufen)

Alt 01.10.2010, 10:23   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Hallo und

Zitat:
Bei einem anschliessenden Scan mit eScan wurde unter anderem Folgendes gefunden:
eScan wird hier schon lange nicht mehr supportet!!!
Ist das ein Büro-PC? WebEx kenn ich, das wird eher in Firmenumgebungen verwendet!
__________________

__________________

Alt 04.10.2010, 15:31   #3
Butterbreze
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Hallo Cosinus,

hat leider mit dem Antworten gedauert, weil ich unterwegs war.
Das mit eScan habe ich leider übersehen, ich hatte eine ältere Anleitung dazu aus diesem Forum.
Ich hatte WebEx vor ca. 2 Jahren für Google Lern-Seminare installiert (da kann man dann mit einem Google Mitarbeiter während seines Vortrags chatten) und schon bestimmt ein Jahr nicht mehr benutzt.
Ich werde heute abend oder morgen früh noch einmal ein HijackThis Logfile erzeugen und posten - sicherheitshalber? Habe in der Zwischenzeit nicht mehr benötigte Software deinstalliert und benutzte Software geupdatet.

Oder doch lieber das System neu aufsetzen?

Viele Grüße
Butterbreze
__________________

Alt 04.10.2010, 18:50   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Wir bekommen den Rechner schon wieder sauber. Es sei denn Du hast kein Bock auf Bereinigung und will auch das Restrisiko nicht eingehen
Deine Entscheidung ob Du formatieren oder bereinigen willst

Zitat:
Art des Suchlaufs: Quick-Scan
Wenn Du bereinigen willst, bitte ein Update mit Malwarebytes und dann einen Vollscan machen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.10.2010, 23:12   #5
Butterbreze
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Das klingt ja da wäre ich echt froh ;-)
also mein Malwarebytes Log von heute sieht so aus - und nun, was kann ich weiter tun? Dauert halt alles, hab soviel Zeugs auf dem Rechner...

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4747

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.10.2010 18:21:23
mbam-log-2010-10-05 (18-21-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 422229
Laufzeit: 3 Stunde(n), 35 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alt 06.10.2010, 11:14   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\wATV03nt.sys -- (iAimTV2)
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [IBP]  File not found
O33 - MountPoints2\{3a760abb-5f0f-11de-b439-000d568acc79}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3a760abb-5f0f-11de-b439-000d568acc79}\Shell\Open(0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
[2010.09.28 12:16:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2010.09.28 12:16:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2010.09.28 12:16:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2010.09.28 12:16:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2010.09.28 12:16:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2010.09.28 12:16:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2009.10.12 09:55:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.06.17 15:47:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
--> TR/Dropper.Gen in C:\Programme\WebEx\

Alt 06.10.2010, 11:51   #7
Butterbreze
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Zitat:
All processes killed
========== OTL ==========
Service iAimTV2 stopped successfully!
Service iAimTV2 deleted successfully!
File C:\WINDOWS\System32\DRIVERS\wATV03nt.sys not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\IBP deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a760abb-5f0f-11de-b439-000d568acc79}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a760abb-5f0f-11de-b439-000d568acc79}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a760abb-5f0f-11de-b439-000d568acc79}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a760abb-5f0f-11de-b439-000d568acc79}\ not found.
File F:\Recycled\ctfmon.exe not found.
C:\WINDOWS\VDLL.DLL folder moved successfully.
C:\WINDOWS\System32\runouce.exe folder moved successfully.
C:\WINDOWS\rundll16.exe folder moved successfully.
C:\WINDOWS\RUNDL132.EXE folder moved successfully.
C:\WINDOWS\logo1_.exe folder moved successfully.
C:\WINDOWS\logo_1.exe folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: All Users

User: XXX
->Temp folder emptied: 36247683 bytes
->Temporary Internet Files folder emptied: 360742 bytes
->Java cache emptied: 118545 bytes
->FireFox cache emptied: 72814530 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 1385488 bytes
->Flash cache emptied: 1184 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: mail

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 663 bytes
RecycleBin emptied: 98779108 bytes

Total Files Cleaned = 200,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10062010_103849

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
... was ist denn mit den not found Einträgen?

Alt 06.10.2010, 15:33   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Zitat:
... was ist denn mit den not found Einträgen?
Das heißt das was da steht: Er konnte einige Dateien nicht mehr finden, die mit bestimmten Einträgen verknüpft waren!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.10.2010, 20:37   #9
Butterbreze
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Guten Abend Cosinus,

so, jetzt mein - für mich kryptisches ComboFix - und das lief fix durch ;-) -
Logfile:
Code:
ATTFilter
ComboFix 10-10-05.06 - ++ 06.10.2010  18:44:37.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.571 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\++\Desktop\cofi.exe
AV: AntiVir Windows Workstation *On-access scanning disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\++\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\regedit.com
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\Data
c:\windows\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-06 bis 2010-10-06  ))))))))))))))))))))))))))))))
.

2010-10-06 09:38 . 2010-10-06 09:38    --------    d-----w-    C:\_OTL
2010-10-05 21:33 . 2010-10-05 21:33    388096    ----a-r-    c:\dokumente und einstellungen\++\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-10-05 21:33 . 2010-10-05 21:33    --------    d-----w-    c:\programme\trendmicro
2010-10-05 21:30 . 2010-10-05 21:30    1402880    ----a-w-    c:\programme\HiJackThis.msi
2010-10-05 13:40 . 2010-10-05 13:40    --------    d-----w-    c:\programme\MalwarebytesAntiMalware-okt-2010
2010-10-04 10:14 . 2010-10-04 10:14    --------    d-----w-    c:\programme\iPod
2010-10-04 10:14 . 2010-10-04 10:15    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-10-04 10:03 . 2010-10-04 10:03    73000    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 10.0.1.22\SetupAdmin.exe
2010-10-04 09:58 . 2010-10-04 09:58    72488    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.33.18.5\SetupAdmin.exe
2010-09-30 15:17 . 2010-09-30 15:17    --------    d-----w-    c:\programme\ERUNT
2010-09-30 10:59 . 2010-10-06 17:22    --------    d-----w-    c:\programme\cCleaner
2010-09-30 10:32 . 2010-09-30 10:38    --------    d-----w-    c:\programme\hijackthis2010
2010-09-29 10:58 . 2010-09-29 10:58    1913160    ----a-w-    c:\programme\HousecallLauncher.exe
2010-09-29 10:43 . 2010-09-30 14:59    --------    d-----w-    C:\0_systemScans
2010-09-28 18:53 . 2010-09-28 18:53    --------    d-----w-    c:\programme\MalwarebytesAntiMalware-sept-2010
2010-09-28 18:51 . 2010-09-28 18:51    --------    d-----w-    c:\programme\malwarebytes-sept-2010
2010-09-28 18:51 . 2010-07-17 04:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-09-28 18:36 . 2010-09-28 18:36    --------    d-----w-    c:\programme\MalWareBytes-AntiMalware
2010-09-28 17:28 . 2010-09-28 17:28    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-09-28 17:00 . 2010-09-28 17:00    --------    d-----w-    C:\escan
2010-09-28 11:11 . 2010-09-28 11:11    632064    ----a-w-    c:\windows\system32\msvcr80.dll
2010-09-28 11:11 . 2010-09-28 11:11    554240    ----a-w-    c:\windows\system32\msvcp80.dll
2010-09-28 11:11 . 2010-09-28 11:11    34048    ----a-w-    c:\windows\system32\eEmpty.exe
2010-09-28 11:11 . 2008-04-14 05:53    140800    ----a-w-    c:\windows\system32\T.COM
2010-09-28 11:11 . 2008-04-14 05:53    153600    ----a-w-    c:\windows\R.COM
2010-09-28 11:11 . 2010-09-28 11:11    --------    d-----w-    c:\programme\Gemeinsame Dateien\MicroWorld
2010-09-28 11:11 . 2010-09-28 11:11    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-09-28 11:10 . 2010-09-28 11:10    --------    d-sh--w-    c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-28 11:01 . 2010-09-28 11:01    --------    d-----w-    c:\programme\eScan
2010-09-09 09:47 . 2010-08-18 16:12    52224    ----a-w-    c:\dokumente und einstellungen\++\Anwendungsdaten\Mozilla\Firefox\Profiles\ygwmqzxr.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
2010-09-09 09:47 . 2010-08-18 16:12    101376    ----a-w-    c:\dokumente und einstellungen\++\Anwendungsdaten\Mozilla\Firefox\Profiles\ygwmqzxr.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-06 09:27 . 2006-07-25 14:37    --------    d-----w-    c:\programme\AntiVir Workstation
2010-10-06 09:27 . 2006-07-25 14:34    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir Workstation
2010-10-05 22:31 . 2007-02-28 11:01    --------    d-----w-    c:\dokumente und einstellungen\++\Anwendungsdaten\Skype
2010-10-05 15:00 . 2009-01-16 09:47    --------    d-----w-    c:\dokumente und einstellungen\++\Anwendungsdaten\skypePM
2010-10-04 10:57 . 2003-09-25 08:03    --------    d--h--w-    c:\programme\InstallShield Installation Information
2010-10-04 10:49 . 2007-04-23 15:49    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-10-04 10:37 . 2003-10-13 12:29    --------    d-----w-    c:\programme\Macromedia
2010-10-04 10:36 . 2003-10-13 12:35    --------    d-----w-    c:\programme\Gemeinsame Dateien\Macromedia
2010-10-04 10:15 . 2009-06-17 14:46    --------    d-----w-    c:\programme\iTunes
2010-10-04 10:14 . 2008-11-12 09:46    --------    d-----w-    c:\programme\Gemeinsame Dateien\Apple
2010-10-04 10:09 . 2007-09-14 13:33    --------    d-----w-    c:\programme\Quicktime2007
2010-10-04 10:04 . 2008-07-14 13:45    --------    d-----w-    c:\programme\Bonjour
2010-10-04 10:02 . 2009-04-28 08:04    --------    d-----w-    c:\programme\safari09
2010-10-04 09:54 . 2007-11-26 11:50    --------    d-----w-    c:\programme\opera
2010-09-30 10:09 . 2005-03-04 11:01    --------    d-----w-    c:\programme\Google
2010-09-30 10:08 . 2009-07-29 13:01    --------    d-----w-    c:\programme\Digi-Art Software
2010-09-28 18:52 . 2003-09-25 07:59    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-09-28 18:50 . 2003-09-25 07:59    --------    d-----w-    c:\programme\Java
2010-09-28 18:40 . 2009-03-29 17:34    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-15 20:23 . 2009-05-08 10:03    1    ----a-w-    c:\dokumente und einstellungen\++\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-06 15:00 . 2010-09-06 08:52    --------    d-----w-    c:\programme\SWFPlayer
2010-09-06 08:47 . 2010-09-06 08:47    --------    d-----w-    c:\programme\softonic-flash-player
2010-09-03 16:42 . 2009-10-27 18:37    --------    d-----w-    c:\programme\Mozilla Sunbird
2010-08-30 14:13 . 2010-05-18 15:19    --------    d-----w-    c:\programme\softonic-de3
2010-08-17 13:17 . 2002-08-29 04:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-12 16:19 . 2002-09-11 10:37    84326    ----a-w-    c:\windows\system32\PERFC007.DAT
2010-08-12 16:19 . 2002-09-11 10:37    458822    ----a-w-    c:\windows\system32\PERFH007.DAT
2010-08-03 23:48 . 2010-08-03 23:48    61440    ----a-w-    c:\dokumente und einstellungen\++\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-64262f95-n\decora-sse.dll
2010-08-03 23:48 . 2010-08-03 23:48    12800    ----a-w-    c:\dokumente und einstellungen\++\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-64262f95-n\decora-d3d.dll
2010-08-03 23:48 . 2010-08-03 23:48    503808    ----a-w-    c:\dokumente und einstellungen\++\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-70efede3-n\msvcp71.dll
2010-08-03 23:48 . 2010-08-03 23:48    348160    ----a-w-    c:\dokumente und einstellungen\++\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-70efede3-n\msvcr71.dll
2010-08-03 23:48 . 2010-08-03 23:48    499712    ----a-w-    c:\dokumente und einstellungen\++\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-70efede3-n\jmc.dll
2010-07-27 17:44 . 2010-07-27 17:44    91424    ----a-w-    c:\windows\system32\dnssd.dll
2010-07-27 17:44 . 2010-07-27 17:44    197920    ----a-w-    c:\windows\system32\dnssdX.dll
2010-07-27 17:44 . 2010-07-27 17:44    107808    ----a-w-    c:\windows\system32\dns-sd.exe
2010-07-22 15:48 . 2003-08-25 13:38    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-05-18 16:15 . 2010-05-18 16:15    1196263    ----a-w-    c:\programme\wget-installer.exe
2010-05-18 16:09 . 2010-05-18 16:09    2834131    ----a-w-    c:\programme\easy-wget-setup.exe
2010-05-18 15:18 . 2010-05-18 15:18    2473480    ----a-w-    c:\programme\SoftonicToolbar.exe
2010-05-18 15:16 . 2010-05-18 15:16    256808    ----a-w-    c:\programme\SoftonicDownloader20340.exe
2010-05-18 14:59 . 2010-05-18 14:59    51371    ----a-w-    c:\programme\wgetgui.zip
2010-05-18 14:52 . 2010-05-18 14:52    2464747    ----a-w-    c:\programme\wget-latest.tar.gz
2010-03-24 16:33 . 2010-03-24 16:33    5600229    ----a-w-    c:\programme\LaunchPad.zip
2010-02-23 15:13 . 2010-02-23 15:13    1364995    ----a-w-    c:\programme\CamStudio20.exe
2010-02-23 14:05 . 2010-02-23 14:05    14583753    ----a-w-    c:\programme\FreeVideoToFlashConverter_42369.exe
2010-02-12 10:12 . 2010-02-12 10:12    13581952    ----a-w-    c:\programme\smsw.zip
2010-01-07 10:47 . 2010-01-07 10:46    31079672    ----a-w-    c:\programme\avira_antivir_personal_de.exe
2009-12-29 10:09 . 2009-12-29 10:09    20549    ----a-w-    c:\programme\cthubc6913b8f3f573c71.csi
2009-11-16 11:03 . 2009-11-16 11:03    6345736    ----a-w-    c:\programme\IBP-Installer.exe
2009-11-10 09:59 . 2009-11-10 09:59    487424    ----a-w-    c:\programme\PasswordGenerator_2.exe
2009-10-28 15:50 . 2009-10-28 15:49    5229335    ----a-w-    c:\programme\sunbird-0.9.en-US.win32.installer.exe
2009-10-28 15:09 . 2009-10-28 15:09    6662528    ----a-w-    c:\programme\Thunderbird Setup 2.0.0.23.exe
2009-10-27 16:17 . 2009-10-28 15:10    5282677    ----a-w-    c:\programme\sunbird-0.9.de.win32.installer.exe
2009-10-12 19:27 . 2009-10-12 19:27    1925024    ----a-w-    c:\programme\install_flash_player.exe
2009-09-17 18:20 . 2009-09-17 18:17    15839536    ----a-w-    c:\programme\AdobeAIRInstaller.exe
2009-09-16 15:18 . 2009-09-16 15:18    10136064    ----a-w-    c:\programme\atecns.msi
2009-09-11 14:07 . 2009-09-11 14:07    7903088    ----a-w-    c:\programme\Firefox Setup 3.5.3.exe
2009-03-30 16:03 . 2009-03-30 16:03    3190688    ----a-w-    c:\programme\ccsetup218.exe
2009-01-12 09:04 . 2009-01-12 09:04    1536    ----a-w-    c:\programme\HBEDV.KEY
2008-11-12 09:42 . 2008-11-12 09:42    67167528    ----a-w-    c:\programme\iTunes801Setup.exe
2008-04-25 09:44 . 2008-04-25 09:44    11048789    ----a-w-    c:\programme\SITEMAP_erstellen-gsitecrawler-123-full.exe
2007-06-01 13:37 . 2007-06-01 13:37    19227    ----a-w-    c:\programme\css_validator-0.3.2-fx.xpi
2007-06-01 13:30 . 2007-06-01 13:30    20229    ----a-w-    c:\programme\measureit-0.3.6-fx.xpi
2007-06-01 13:29 . 2007-06-01 13:29    139055    ----a-w-    c:\programme\colorzilla-1.0-fx+mz.xpi
2006-11-03 17:17 . 2006-11-03 17:17    16508560    ----a-w-    c:\programme\jre-1_5_0_09-windows-i586-p-s.exe
2006-01-25 16:53 . 2006-01-25 16:53    5882368    ----a-w-    c:\programme\sgpc211_u_German.exe
2005-05-04 14:10 . 2005-05-04 14:10    323393    ----a-w-    c:\programme\webYourPhotos_Galerie.zip
2004-11-10 16:37 . 2004-11-10 16:37    85832    ----a-w-    c:\programme\MySQLDumper1[1].11RC1.rar
2004-05-28 10:05 . 2004-05-28 10:05    4253184    ----a-w-    c:\programme\avwinsfx.exe
2004-02-17 19:25 . 2004-02-17 19:25    3394522    ----a-w-    c:\programme\httrack-3.30.exe
2009-03-06 11:06 . 2009-03-06 11:06    27976    ----a-w-    c:\programme\mozilla firefox\plugins\atgpcdec.dll
2009-03-06 11:06 . 2009-03-06 11:06    126360    ----a-w-    c:\programme\mozilla firefox\plugins\atgpcext.dll
2009-04-17 13:32 . 2009-04-17 13:32    98712    ----a-w-    c:\programme\mozilla firefox\plugins\ieatgpc.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsof1.dll" [2010-09-29 2735200]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2010-09-29 10:48    2735200    ----a-w-    c:\programme\softonic-de3\tbsof1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsof1.dll" [2010-09-29 2735200]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\programme\softonic-de3\tbsof1.dll" [2010-09-29 2735200]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-18 68856]
"Google Update"="c:\dokumente und einstellungen\++\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-04-22 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"diagent"="c:\programme\Creative\SBLive\Diagnostics\diagent.exe" [2002-04-03 135264]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"DVDSentry"="c:\windows\System32\DSentry.exe" [2002-08-14 28672]
"AdaptecDirectCD"="c:\programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-12-17 684032]
"Lexmark X74-X75"="c:\programme\Lexmark X74-X75\lxbbbmgr.exe" [2002-10-14 57344]
"avgnt"="c:\programme\AntiVir Workstation\avgnt.exe" [2008-07-21 266497]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"AtiPTA"="atiptaxx.exe" [2001-08-30 245760]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-05 61440]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2010-06-19 38840]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2010-06-19 640440]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\Quicktime2007\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\++\StartmenÅ\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\
ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-6 61440]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
WinZip Quick Pick.lnk - c:\programme\Winzip\WZQKPICK.EXE [2003-11-7 106560]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\smartftp\\SmartFTP.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"c:\\apachefriends\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\apachefriends\\xampp\\MercuryMail\\mercury.exe"=
"c:\\Programme\\webserverON-A-Stick\\mysql\\bin\\mysqld-nt.exe"=
"c:\\Programme\\webserverON-A-Stick\\apache2\\bin\\httpd.exe"=
"c:\\Program Files\\iCal 3.5 Web Calendar\\Ical.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\opera\\opera.exe"=
"c:\\Programme\\Adobe\\Adobe Contribute CS3\\Contribute.exe"=
"c:\\Programme\\teamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 avgntmgr;avgntmgr;c:\windows\SYSTEM32\DRIVERS\avgntmgr.sys [25.07.2006 15:37 22360]
R1 avgntdd;avgntdd;c:\windows\SYSTEM32\DRIVERS\avgntdd.sys [25.07.2006 15:37 45400]
R2 AntiVirMailService;AntiVir Windows Workstation MailGuard;c:\programme\AntiVir Workstation\avmailc.exe [25.07.2006 15:37 164097]
R2 antivirwebservice;Avira AntiVir Professional WebGuard;c:\programme\AntiVir Workstation\avwebgrd.exe [17.04.2008 10:49 258305]
R2 ASFAgent;ASF Agent;c:\programme\Intel\ASF Agent\ASFAgent.exe [10.02.2003 04:52 114688]
R2 AsfAlrt;AsfAlrt;c:\windows\SYSTEM32\DRIVERS\Asfalrt.sys [18.12.2002 04:31 36064]
R2 AVEService;AntiVir Windows Workstation MailGuard Hilfsdienst;c:\programme\AntiVir Workstation\avesvc.exe [25.07.2006 15:37 41217]
R2 navi;VeriSign Updater;c:\programme\VeriSign\NAVI\naviagent.exe uimode=agentupdate --> c:\programme\VeriSign\NAVI\naviagent.exe uimode=agentupdate [?]
R2 PDIHWCTL;PDIHWCTL;c:\windows\SYSTEM32\DRIVERS\pdihwctl.sys [20.03.2006 13:43 14416]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [23.03.2010 23:20 135664]
S3 eyeonedp;eye-one display;c:\windows\SYSTEM32\DRIVERS\EyeOneDp.sys [20.03.2006 13:43 44344]
.
Inhalt des "geplante Tasks" Ordners

2010-09-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-10-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-23 22:20]

2010-10-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-23 22:20]

2010-10-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3267661715-3879953132-3896943877-1005Core.job
- c:\dokumente und einstellungen\++\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-22 09:10]

2010-10-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3267661715-3879953132-3896943877-1005UA.job
- c:\dokumente und einstellungen\++\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-22 09:10]

2010-10-06 c:\windows\Tasks\User_Feed_Synchronization-{5DE9D80A-5F82-4981-97E7-2F991E8CE0F4}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2431245
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: An vorhandene PDF-Datei anf¸gen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Mister Wong - hxxp://www.mister-wong.de/_stuff/toolbar_ie/de/2.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: avsda.dll
TCP: {7314BA9B-AA82-447E-AAC2-D6146A3D66E9} = 193.101.111.10,193.101.111.20
DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} - hxxps://www.linkedin.com/cab/wabctrl.cab
FF - ProfilePath - c:\dokumente und einstellungen\++\Anwendungsdaten\Mozilla\Firefox\Profiles\ygwmqzxr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - component: c:\dokumente und einstellungen\++\Anwendungsdaten\Mozilla\Firefox\Profiles\ygwmqzxr.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
FF - component: c:\dokumente und einstellungen\++\Anwendungsdaten\Mozilla\Firefox\Profiles\ygwmqzxr.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\++\Anwendungsdaten\Mozilla\Firefox\Profiles\ygwmqzxr.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
FF - plugin: c:\dokumente und einstellungen\++\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npatgpc.dll
FF - plugin: c:\programme\Quicktime2007\Plugins\npqtplugin.dll
FF - plugin: c:\programme\Quicktime2007\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\Quicktime2007\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\Quicktime2007\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\Quicktime2007\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Quicktime2007\Plugins\npqtplugin6.dll
FF - plugin: c:\programme\Quicktime2007\Plugins\npqtplugin7.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(780)
c:\windows\system32\avsda.dll
.
Zeit der Fertigstellung: 2010-10-06  19:04:41
ComboFix-quarantined-files.txt  2010-10-06 18:04

Vor Suchlauf: 21 Verzeichnis(se), 30.533.271.552 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 30.582.837.248 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 242388110B9696ADF713F457273AC164
         
--- --- ---


;-)
Gruß, Butterbreze

Alt 06.10.2010, 21:31   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.10.2010, 19:51   #11
Butterbreze
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Guten Abend Cosinus,

GMER ist mir leider nach 2,5 Mal nachts laufen lassen entweder zwischendrin oder vor dem Abspeichern des Logs abgestürzt und wie Du gesagt hast, hab ich jetzt mit den beiden anderen Logfiles stattdessen weitergemacht. (GMER braucht auch sehr lang, wenn man "files" angekreuzt hat.) Ich wusste nicht genau, ob es gut ist bei OSAM und MBRcheck sowohl Internetverbindung als auch AntiVIR aktiviert zu lassen (hatte ich), alle anderen Programe waren zu während der Checks.

Hier nun die Logs:


OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxx://www.online-solutions.ru/en/
Saved at 17:59:38 on 11.10.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-3267661715-3879953132-3896943877-1005Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-3267661715-3879953132-3896943877-1005UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"CTDetect.cpl" - "Creative Technology Ltd." - C:\WINDOWS\system32\CTDetect.cpl
"CTDevCtrl.cpl" - "Creative Technology Ltd." - C:\WINDOWS\system32\CTDevCtrl.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"PRApplet.cpl" - "Intel(R) Corporation" - C:\WINDOWS\system32\PRApplet.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Version Cue CS3" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.cpl
"Avira AntiVir Windows Workstation Konfiguration" - "Avira GmbH" - C:\PROGRA~1\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\Quicktime2007\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AsfAlrt" (AsfAlrt) - "Intel Corporation" - C:\WINDOWS\System32\drivers\AsfAlrt.sys
"ati2mtaa" (ati2mtaa) - "ATI Technologies Inc." - C:\WINDOWS\System32\DRIVERS\ati2mtaa.sys
"avgntdd" (avgntdd) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntdd.sys
"avgntmgr" (avgntmgr) - "Avira GmbH" - C:\WINDOWS\System32\drivers\avgntmgr.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\xx~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Cdr4_xp" (Cdr4_xp) - "Roxio" - C:\WINDOWS\system32\drivers\Cdr4_xp.sys
"Cdralw2k" (Cdralw2k) - "Roxio" - C:\WINDOWS\system32\drivers\Cdralw2k.sys
"cdudf_xp" (cdudf_xp) - "Roxio" - C:\WINDOWS\system32\drivers\cdudf_xp.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"CO_Mon" (CO_Mon) - ? - C:\WINDOWS\System32\Drivers\CO_Mon.sys  (File found, but it contains no detailed information)
"dvd_2K" (dvd_2K) - "Roxio" - C:\WINDOWS\system32\drivers\dvd_2K.sys
"eye-one display" (eyeonedp) - ? - C:\WINDOWS\System32\DRIVERS\eyeonedp.sys  (File found, but it contains no detailed information)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\DOKUME~1\xx1\LOKALE~1\Temp\mbr.sys  (File not found)
"mmc_2K" (mmc_2K) - "Roxio" - C:\WINDOWS\system32\drivers\mmc_2K.sys
"OMCI WDM Device Driver" (omci) - "Dell Computer Corporation" - C:\WINDOWS\System32\DRIVERS\omci.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDIHWCTL" (PDIHWCTL) - "Portrait Displays, Inc." - C:\WINDOWS\System32\drivers\pdihwctl.sys
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PfModNT" (PfModNT) - "Creative Technology Ltd." - C:\WINDOWS\System32\PfModNT.sys
"pwd_2k" (pwd_2k) - "Roxio" - C:\WINDOWS\system32\drivers\pwd_2k.sys
"ssmdrv" (ssmdrv) - "AVIRA GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"U3sHlpDr" (U3sHlpDr) - ? - C:\WINDOWS\System32\Drivers\U3sHlpDr.sys  (File found, but it contains no detailed information)
"UdfReadr_xp" (UdfReadr_xp) - "Roxio" - C:\WINDOWS\system32\drivers\UdfReadr_xp.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Desktop\Components )-----
"(0) Source" - ? - /C:/DOKUME~1/xx~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg  (File not found)
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{09308CE0-6ECC-4DB6-A957-2AD37E5E3C7E} "StuffIt Archive Menu" - "Smith Micro Software, Inc." - C:\Programme\Smith Micro\StuffIt\ArchiveMenu.dll
{3FBFD0B0-EB46-4797-9101-615610E87DA6} "StuffIt Compress Menu" - "Smith Micro Software, Inc." - C:\Programme\Smith Micro\StuffIt\CompressMenu.dll
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 9.0\Acrobat Elements\ContextMenu.dll
{5E44E225-A408-11CF-B581-008029601108} "Adaptec DirectCD Shell Extension" - "Roxio" - C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{CE000992-A58C-4441-8938-744CD72AB27F} "i-Nav IDN Resolver" - "VeriSign, Inc." - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
{CE000994-A58C-4441-8938-744CD72AB27F} "i-Nav IDN SearchHook" - "VeriSign, Inc." - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{59AF8E81-BE3C-11d5-BE40-00A0244C457F} "SafeGuard® PrivateCrypto extension" - "Utimaco Safeware AG" - C:\Programme\Utimaco\SafeGuard PrivateCrypto\pcshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\AntiVir Workstation\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
{B8323370-FF27-11D2-97B6-204C4F4F5020} "SmartFTP Shell Extension DLL" - "SmartFTP" - C:\Programme\SmartFTP\SmartHook.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer xxs )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITxx7Height "ITxx7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITxx7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITxxLayout" - ? -   (File not found | COM-object registry key not found)
<binary data> "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsof1.dll
<binary data> "{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}" - ? -   (File not found | COM-object registry key not found)
<binary data> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{CE000994-A58C-4441-8938-744CD72AB27F} "i-Nav IDN SearchHook" - "VeriSign, Inc." - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsof1.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{17D72920-7A15-11D4-921E-0080C8DA7A5E} "AimSp32 Class" - "Approach Infinity Media Corportation" - C:\WINDOWS\Downloaded Program Files\aimsp32.dll / hxx://rimmel.ai-media.com/save/makeover.cab
{917623D1-D8E5-11D2-BE8B-00104B06BDE3} "CamImage Class" - ? - C:\WINDOWS\Downloaded Program Files\AxisCamControl.ocx / hxx://141.39.245.118/activex/AxisCamControl.cab
{E06E2E99-0AA1-11D4-ABA6-0060082AA75C} "GpcContainer Class" - "WebEx Communications, Inc" - C:\Programme\WebEx\ieatgpc.dll / 
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxx://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxx://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxx://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Macromedia, Inc." - C:\WINDOWS\SYSTEM32\Macromed\Director\SwDir.dll / hxx://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx / hxx://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} "Symantec AntiVirus scanner" - "Symantec Corporation" - C:\WINDOWS\Downloaded Program Files\avsniff.dll / hxx://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
{644E432F-49D3-41A1-8DD5-E099162EEEC5} "Symantec RuFSI Utility Class" - "Symantec Corporation" - C:\WINDOWS\Downloaded Program Files\rufsi.dll / hxx://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
{FA9740A2-5802-42E2-B509-81186EEB3C42} "WABControl Class" - "LinkedIn, Ltd." - C:\WINDOWS\Downloaded Program Files\wabctrl.dll / hxxs://www.linkedin.com/cab/wabctrl.cab
{62475759-9E84-458E-A1AB-5D2C442ADFDE} "{62475759-9E84-458E-A1AB-5D2C442ADFDE}" - ? -   (File not found | COM-object registry key not found) / hxx://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CE000996-A58C-4441-8938-744CD72AB27F} "ClsidExtension" - "VeriSign, Inc." - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
"Hilfe zu i-Nav" - ? - hxx://idn.verisign-grs.com/plug-in/support/index.jsp  (HTTP value)
{86529161-034E-4F8A-88D2-3C625E612E04} "Run WinHTTrack" - ? - C:\Programme\HTTrack09\WinHTTrackIExx.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} "Contribute Toolbar" - "Adobe Systems Incorporated." - C:\Programme\Adobe\Adobe Contribute CS3\contributeieplugin.dll
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsof1.dll
<binary data> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{074C1DC5-9320-4A9A-947D-C042949C6216} "ContributeBHO Class" - "Adobe Systems Incorporated." - C:\Programme\Adobe\Adobe Contribute CS3\contributeieplugin.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
{CE000992-A58C-4441-8938-744CD72AB27F} "i-Nav IDN Resolver" - "VeriSign, Inc." - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{F4971EE7-DAA0-4053-9964-665D8EE6A077} "SmartSelect Class" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsof1.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"ATI CATALYST System Tray.lnk" - "ATI Technologies Inc." - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe  (Shortcut exists | File exists)
"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DESKTOP.INI
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
"WinZip Quick Pick.lnk" - "WinZip Computing, Inc." - C:\Programme\Winzip\WZQKPICK.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\\Startmenü\Programme\Autostart\DESKTOP.INI
"OpenOffice.org 3.1.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
"Terminkalender.lnk" - ? - C:\Dokumente und Einstellungen\\Startmenü\Programme\Autostart\Terminkalender.lnk  (Shortcut exists | File not found)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Google Update" - "Google Inc." - "C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 8.0" - "Adobe Systems Inc." - "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
"AdaptecDirectCD" - "Roxio" - "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
"Adobe Acrobat Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe_ID0EYTHM" - "Adobe Systems Incorporated" - C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"ATICCC" - "ATI Technologies Inc." - "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
"AtiPTA" - "ATI Technologies, Inc." - atiptaxx.exe
"avgnt" - "Avira GmbH" - "C:\Programme\AntiVir Workstation\avgnt.exe" /min
"diagent" - "Creative Technology Ltd" - C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
"DVDSentry" - "Dell - Advanced Desktop Engineering" - C:\WINDOWS\System32\DSentry.exe
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"Lexmark X74-X75" - "Lexmark International, Inc." - "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"QuickTime Task" - "Apple Inc." - "C:\Programme\Quicktime2007\QTTask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"UpdReg" - "Creative Technology Ltd." - C:\WINDOWS\UpdReg.EXE

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe Version Cue CS3 {de_DE} " (Adobe Version Cue CS3) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
"AntiVir Windows Workstation Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\AntiVir Workstation\avguard.exe
"AntiVir Windows Workstation MailGuard" (AntiVirMailService) - "Avira GmbH" - C:\Programme\AntiVir Workstation\avmailc.exe
"AntiVir Windows Workstation MailGuard Hilfsdienst" (AVEService) - "Avira GmbH" - C:\Programme\AntiVir Workstation\avesvc.exe
"AntiVir Windows Workstation Planer" (AntiVirScheduler) - "Avira GmbH" - C:\Programme\AntiVir Workstation\sched.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASF Agent" (ASFAgent) - "Intel Corporation" - C:\Programme\Intel\ASF Agent\ASFAgent.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\SYSTEM32\ati2sgag.exe
"Avira AntiVir Professional WebGuard" (antivirwebservice) - "Avira GmbH" - C:\Programme\AntiVir Workstation\AVWEBGRD.EXE
"Creative Service for CDROM Access" (Creative Service for CDROM Access) - "Creative Technology Ltd" - C:\WINDOWS\System32\CTsvcCDA.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"Iap" (Iap) - "Dell Computer Corporation" - C:\Programme\Dell\OpenManage\Client\Iap.exe
"Intel NCS NetService" (NetSvc) - "Intel(R) Corporation" - C:\Programme\Intel\NCS\Sync\NetSvc.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"VeriSign Updater" (navi) - "VeriSign, Inc." - C:\Programme\VeriSign\NAVI\naviagent.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"WMDM PMSP Service" (WMDM PMSP Service) - "Microsoft Corporation" - C:\WINDOWS\System32\MsPMSPSv.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira GmbH" - C:\WINDOWS\system32\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===--- --- ------ --- ---
If You have questions or want to get some help, You can visit hxx://forum.online-solutions.ru
         
Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 137):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF79A1000 \WINDOWS\system32\KDCOM.DLL
0xF78B1000 \WINDOWS\system32\BOOTVID.dll
0xF7451000 ACPI.sys
0xF79A3000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF7440000 pci.sys
0xF74A1000 isapnp.sys
0xF7A69000 pciide.sys
0xF7721000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF74B1000 MountMgr.sys
0xF7421000 ftdisk.sys
0xF79A5000 dmload.sys
0xF73FB000 dmio.sys
0xF7729000 PartMgr.sys
0xF74C1000 VolSnap.sys
0xF73E3000 atapi.sys
0xF74D1000 disk.sys
0xF74E1000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF73C3000 fltmgr.sys
0xF73B1000 sr.sys
0xF74F1000 avgntmgr.sys
0xF739A000 KSecDD.sys
0xF730D000 Ntfs.sys
0xF72E0000 NDIS.sys
0xF72C6000 Mup.sys
0xF7501000 agp440.sys
0xF7541000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF65C7000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF65B3000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF7851000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF658F000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7859000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF6453000 \SystemRoot\system32\drivers\P16X.sys
0xF6430000 \SystemRoot\system32\drivers\ks.sys
0xF640C000 \SystemRoot\system32\drivers\portcls.sys
0xF7551000 \SystemRoot\system32\drivers\drmk.sys
0xF7285000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF62C7000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF7861000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF7561000 \SystemRoot\System32\DRIVERS\serial.sys
0xF7281000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF62B3000 \SystemRoot\System32\DRIVERS\parport.sys
0xF7571000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF7581000 \SystemRoot\System32\Drivers\Cdr4_xp.SYS
0xF7591000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF75A1000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF6294000 \SystemRoot\System32\Drivers\pwd_2k.SYS
0xF7869000 \SystemRoot\System32\Drivers\Cdralw2k.SYS
0xF7871000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF6206000 \SystemRoot\system32\drivers\smwdm.sys
0xF79E3000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7BA5000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF75B1000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7275000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF61EF000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF75C1000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF75D1000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF7879000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF61DE000 \SystemRoot\System32\DRIVERS\psched.sys
0xF75E1000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7881000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF7889000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF61AE000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF75F1000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7891000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7899000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF79E5000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF5FDC000 \SystemRoot\System32\DRIVERS\update.sys
0xF78A1000 \SystemRoot\System32\DRIVERS\omci.sys
0xF793D000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF78A9000 \SystemRoot\System32\Drivers\mmc_2K.SYS
0xF7601000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7611000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF79E7000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7741000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xF7971000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xECEA1000 \SystemRoot\SYSTEM32\DRIVERS\avgntdd.sys
0xF79E9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7AD5000 \SystemRoot\System32\Drivers\Null.SYS
0xF79EB000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7751000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF7759000 \SystemRoot\System32\drivers\vga.sys
0xF79ED000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79EF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xECE46000 \SystemRoot\System32\Drivers\cdudf_xp.SYS
0xF7761000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7769000 \SystemRoot\System32\Drivers\Npfs.SYS
0xECE01000 \SystemRoot\System32\Drivers\UdfReadr_xp.SYS
0xF69A7000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xECDB4000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xECD5B000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xECD33000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF699F000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xECD11000 \SystemRoot\System32\drivers\afd.sys
0xF7651000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF7771000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xECCE6000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xECC76000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF7681000 \SystemRoot\System32\Drivers\Fips.SYS
0xECC50000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF7691000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF7779000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xF799D000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF76A1000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xF7291000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF7289000 \SystemRoot\System32\DRIVERS\kbdhid.sys
0xECC17000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xECBFF000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79F3000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF5FB4000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7781000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B92000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBF464000 \SystemRoot\System32\ati2dvag.dll
0xBF49B000 \SystemRoot\System32\ati2cqag.dll
0xBF4CF000 \SystemRoot\System32\atikvmag.dll
0xBF504000 \SystemRoot\System32\ati3duag.dll
0xBF746000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xBA4E8000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xBA083000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF7A37000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB9F7E000 \SystemRoot\system32\drivers\wdmaud.sys
0xBA1E8000 \SystemRoot\system32\drivers\sysaudio.sys
0xF77C9000 \??\C:\WINDOWS\System32\drivers\AsfAlrt.sys
0xB9B89000 \SystemRoot\System32\DRIVERS\srv.sys
0xB9E50000 \??\C:\WINDOWS\System32\drivers\pdihwctl.sys
0xF79DF000 \??\C:\WINDOWS\System32\PfModNT.sys
0xF79FF000 \??\C:\WINDOWS\System32\Drivers\U3sHlpDr.sys
0xB9CE8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB9468000 \SystemRoot\System32\Drivers\HTTP.sys
0xB86A8000 \SystemRoot\System32\DRIVERS\e1000325.sys
0xB7D1B000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\SYSTEM32\ntdll.dll

Processes (total 60):
0 System Idle Process
4 System
416 C:\WINDOWS\SYSTEM32\smss.exe
472 csrss.exe
504 C:\WINDOWS\SYSTEM32\winlogon.exe
548 C:\WINDOWS\SYSTEM32\services.exe
560 C:\WINDOWS\SYSTEM32\lsass.exe
708 C:\WINDOWS\SYSTEM32\ati2evxx.exe
720 C:\WINDOWS\SYSTEM32\svchost.exe
816 svchost.exe
856 C:\WINDOWS\SYSTEM32\svchost.exe
896 svchost.exe
1012 svchost.exe
1160 C:\WINDOWS\SYSTEM32\ati2evxx.exe
1240 C:\WINDOWS\explorer.exe
1368 C:\WINDOWS\SYSTEM32\LEXBCES.EXE
1400 C:\WINDOWS\SYSTEM32\spoolsv.exe
1456 C:\WINDOWS\SYSTEM32\LEXPPS.EXE
1564 svchost.exe
1620 C:\Programme\AntiVir Workstation\sched.exe
1632 C:\Programme\AntiVir Workstation\avguard.exe
1644 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1680 C:\Programme\Intel\ASF Agent\ASFAgent.exe
1768 C:\Programme\AntiVir Workstation\avesvc.exe
1812 C:\Programme\Bonjour\mDNSResponder.exe
1832 C:\WINDOWS\SYSTEM32\CTsvcCDA.EXE
1952 C:\Programme\Dell\OpenManage\Client\Iap.exe
1984 C:\Programme\Java\jre6\bin\jqs.exe
2044 C:\Programme\VeriSign\NAVI\naviagent.exe
164 C:\WINDOWS\SYSTEM32\nvsvc32.exe
368 C:\WINDOWS\SYSTEM32\svchost.exe
460 C:\WINDOWS\SYSTEM32\MsPMSPSv.exe
1212 wmiprvse.exe
1132 NAVICL~1.EXE
2148 C:\WINDOWS\SYSTEM32\DSentry.exe
2172 C:\Programme\Roxio\Easy CD Creator 5\DirectCD\Directcd.exe
2180 C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
2196 C:\Programme\AntiVir Workstation\avgnt.exe
2208 C:\WINDOWS\SYSTEM32\rundll32.exe
2224 C:\WINDOWS\SYSTEM32\atiptaxx.exe
2244 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
2304 C:\WINDOWS\SYSTEM32\rundll32.exe
2324 C:\Programme\Lexmark X74-X75\lxbbbmon.exe
2340 C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
2376 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2384 C:\Programme\Quicktime2007\QTTask.exe
2420 C:\Programme\iTunes\iTunesHelper.exe
2480 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2608 C:\Programme\AntiVir Workstation\avmailc.exe
2624 C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
2696 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
2744 C:\Programme\Winzip\WZQKPICK.EXE
2800 C:\Programme\AntiVir Workstation\avwebgrd.exe
3116 C:\Programme\OpenOffice.org 3\program\soffice.exe
3184 C:\Programme\OpenOffice.org 3\program\soffice.bin
3280 alg.exe
3656 C:\Programme\iPod\bin\iPodService.exe
2644 C:\Programme\Messenger\msmsgs.exe
3720 C:\WINDOWS\SYSTEM32\wuauclt.exe
3912 C:\Dokumente und Einstellungen\xx\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`02f10c00 (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST380011A, Rev: 3.16
PhysicalDrive1 Model Number: IBM-DJNA-372200, Rev: J71OA30K

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
21 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

;-) Butterbreze

Geändert von Butterbreze (11.10.2010 um 19:56 Uhr) Grund: formatierung

Alt 11.10.2010, 21:07   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.10.2010, 21:44   #13
Butterbreze
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Guten Abend Cosinus,

die zwei Logfiles anbei.
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Zitat:
Generiert 10/13/2010 bei 10:25 PM

Version der Applikation : 4.44.1000

Version der Kern-Datenbank : 5679
Version der Spur-Datenbank : 3491

Scan Art : kompletter Scann
Totale Scann-Zeit : 02:42:25

Gescannte Speicherelemente : 762
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 7157
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 273898
Erfasste Datei-Elemente : 0
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4803
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.10.2010 21:28:34
mbam-log-2010-10-12 (21-28-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 421772
Laufzeit: 3 Stunde(n), 32 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: (Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden)
Infizierte Dateien: (Keine bösartigen Objekte gefunden)
Sieht doch eigtl. gut aus... GIbt es irgendwas was ich noch tun kann?

Gruß
Butterbreze

Alt 15.10.2010, 14:53   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Sieht ok aus.
Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.10.2010, 13:00   #15
Butterbreze
 
TR/Dropper.Gen in C:\Programme\WebEx\ - Standard

TR/Dropper.Gen in C:\Programme\WebEx\



Hallo Arne aka Cosinus,

erstmal gaaanz herzlichen Dank:

Nein, es sind zum Glück keine Probleme oder erneuten Funde aufgetreten.


Viele Grüße
Butterbreze

Antwort

Themen zu TR/Dropper.Gen in C:\Programme\WebEx\
antivir, assembly, autostart, avg, avira, backdoor.generic, datei, defogger, dropper.gen, einstellungen, escan, firefox, firefox.exe, infected, infiziert, load.exe, malware, malware gefunden, maßnahme, mozilla, nicht sicher, null.corrupted, programme, scan, system, system volume information, system32, systemwiederherstellung, temp, temporäre dateien, tr/dropper.gen, trojan, trojaner-board, virus, windows



Ähnliche Themen: TR/Dropper.Gen in C:\Programme\WebEx\


  1. Laptop läd Programme sehr langsam, Programme-Fehlermeldung (keine Rückmeldung) & im Chrome Seiten laden nicht
    Plagegeister aller Art und deren Bekämpfung - 06.10.2014 (5)
  2. (mehrere) Trojanermeldung(en) AVG (Win8.1) : "Trojaner: Dropper.Generic2.ANGG.dropper"
    Log-Analyse und Auswertung - 11.07.2014 (3)
  3. Programme werden bei "Programme und Funktionen" nicht angezeigt (Windwos 7)
    Log-Analyse und Auswertung - 13.05.2014 (2)
  4. Unter "Programme und Features" werden fast keine Programme mehr angezeigt!
    Alles rund um Windows - 22.04.2014 (19)
  5. windows 7 - programme schließen nicht, surfen unmöglich wegen ständigen Popups und Weiterleitungen, lange Ladezeiten der Programme -Virus?
    Plagegeister aller Art und deren Bekämpfung - 22.12.2013 (9)
  6. Kritische Lücken im Cisco WebEx-Player
    Nachrichten - 02.07.2012 (0)
  7. Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX
    Log-Analyse und Auswertung - 06.05.2012 (1)
  8. keygenguru.com Virus! Zerstört Anti-Viren Programme und andere Programme! (XP)
    Alles rund um Windows - 29.07.2011 (2)
  9. Programme aus "Programme"-Ordner öffnen nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 20.03.2011 (1)
  10. Win7 Programme und Funktionen, Programme nur teilweise angezeigt
    Alles rund um Windows - 08.08.2010 (1)
  11. Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (9)
  12. Sicherheits-Update für Ciscos WebEx WRF Player
    Nachrichten - 17.12.2009 (0)
  13. TR/Dropper.gen angeblich unterC:\Programme\GIGABYTE\EnergySaver\GSvr.exe
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (33)
  14. Laufwerke funktionieren nicht. Programme instabil. Rechner langsam. TR/Dropper.Gen??
    Log-Analyse und Auswertung - 15.12.2008 (0)
  15. Adware.WebEx + Tracking.Cookies eingefangen
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (0)
  16. Adware.WebEx
    Mülltonne - 18.01.2008 (0)

Zum Thema TR/Dropper.Gen in C:\Programme\WebEx\ - Hallo, bei einem Virenscan wurde Dropper.Gen gefunden, bei darauffolgenden Scans noch mehr Malware . Ich bin mir nicht sicher, ob ich mit dem Vorgehen nach Eurer Anleitung schon mein System - TR/Dropper.Gen in C:\Programme\WebEx\...
Archiv
Du betrachtest: TR/Dropper.Gen in C:\Programme\WebEx\ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.