Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.05.2011, 14:31   #16
Yakul
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Arne, noch eine kleine Zwischenfrage.
Habe soeben mit CC-Cleaner aufgeräumt und bin gerade dabei alle Programme für Combofix zu schließen.
1. Muss ich alle Programme, die ich unter den Taskmanager finde, schließen, die unter meinem Benutzer laufen?
2. AntiVir lässt sich nicht schließen. Reicht es, es zu deaktivieren oder muss ich es deinstallieren?

MfG

Alt 10.05.2011, 15:08   #17
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Alle sichtbaren Programme beenden, über den Taskmanager musst du nichts machen.
AntiVir deaktivieren reicht normalerweise aus.
__________________

__________________

Alt 10.05.2011, 15:23   #18
Yakul
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Okay, hier ist die Log-Datei, die Combofix ausgespuckt hat.
---------------------------------------------------------------------------
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-05-09.02 - Muskeljesus 10.05.2011  16:16:57.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1033.18.3327.2788 [GMT 2:00]
ausgeführt von:: c:\documents and settings\Muskeljesus\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\vlc-1.0.5-win32.exe
c:\documents and settings\Muskeljesus\Application Data\Local
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\.ddr
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\2.ddi
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\3.ddi
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\settings.ddi
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\Temporary Downloaded Files\(3).ddp
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\Temporary Downloaded Files\(4).ddp
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\Temporary Downloaded Files\(5).ddp
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\documents and settings\Muskeljesus\Application Data\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx
c:\documents and settings\Muskeljesus\WINDOWS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-10 bis 2011-05-10  ))))))))))))))))))))))))))))))
.
.
2011-05-09 17:57 . 2011-05-09 18:07	--------	d-----w-	c:\program files\ICQ7.5
2011-05-07 21:23 . 2011-05-07 21:23	781272	----a-w-	c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-05-07 21:23 . 2011-05-07 21:23	1874904	----a-w-	c:\program files\Mozilla Firefox\mozjs.dll
2011-05-07 21:23 . 2011-05-07 21:23	89048	----a-w-	c:\program files\Mozilla Firefox\libEGL.dll
2011-05-07 21:23 . 2011-05-07 21:23	465880	----a-w-	c:\program files\Mozilla Firefox\libGLESv2.dll
2011-05-07 21:23 . 2011-05-07 21:23	1892184	----a-w-	c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-05-07 21:23 . 2011-05-07 21:23	15832	----a-w-	c:\program files\Mozilla Firefox\mozalloc.dll
2011-05-07 21:23 . 2011-05-07 21:23	142296	----a-w-	c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-05-07 21:23 . 2011-05-07 21:23	1974616	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-04-28 22:32 . 2011-04-28 22:32	--------	d-----w-	c:\program files\CCleaner
2011-04-28 16:19 . 2011-04-28 16:19	--------	d-----w-	C:\_OTL
2011-04-28 14:33 . 2011-04-28 14:33	--------	d-----w-	c:\documents and settings\Muskeljesus\Application Data\Malwarebytes
2011-04-28 14:32 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-28 14:32 . 2011-04-28 14:32	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-28 14:32 . 2011-04-28 14:32	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-04-28 14:32 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-16 14:23 . 2009-12-10 10:16	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2008-09-21 19:31	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2004-08-04 12:00	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:21 . 2004-08-04 12:00	1857920	----a-w-	c:\windows\system32\win32k.sys
2011-02-17 19:00 . 2004-08-04 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2011-02-17 19:00 . 2004-08-04 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2011-02-17 19:00 . 2004-08-04 12:00	1830912	------w-	c:\windows\system32\inetcpl.cpl
2011-02-17 19:00 . 2004-08-04 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2011-02-17 13:18 . 2004-08-04 12:00	455936	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-04 12:00	357888	----a-w-	c:\windows\system32\drivers\srv.sys
2011-02-17 12:32 . 2009-04-15 08:54	5120	----a-w-	c:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 2004-08-04 12:00	389120	----a-w-	c:\windows\system32\html.iec
2011-02-15 12:56 . 2004-08-04 12:00	290432	----a-w-	c:\windows\system32\atmfd.dll
2011-05-07 21:23 . 2011-05-07 21:23	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\program files\ICQ7.5\ICQ.exe" [2011-05-09 124216]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-10 149280]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-18 1848648]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"VirtualCloneDrive"="c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
"DivX Download Manager"="c:\program files\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"MaxMenuMgr"="c:\program files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2009-09-25 185640]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Garena\\Garena.exe"=
"d:\\Spiele\\World of Warcraft\\Launcher.exe"=
"d:\\Spiele\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Program Files\\Messenger\\Msmsgs.exe"=
"d:\\Spiele\\StarCraft II\\StarCraft II.exe"=
"d:\\Spiele\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
"d:\\Spiele\\StarCraft II\\Versions\\Base16605\\SC2.exe"=
"d:\\Spiele\\StarCraft II\\Versions\\Base16755\\SC2.exe"=
"c:\\Program Files\\ICQ7.5\\ICQ.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"8375:TCP"= 8375:TCP:League of Legends Launcher
"8375:UDP"= 8375:UDP:League of Legends Launcher
"8376:TCP"= 8376:TCP:League of Legends Launcher
"8376:UDP"= 8376:UDP:League of Legends Launcher
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"8377:TCP"= 8377:TCP:League of Legends Launcher
"8377:UDP"= 8377:UDP:League of Legends Launcher
"8378:TCP"= 8378:TCP:League of Legends Launcher
"8378:UDP"= 8378:UDP:League of Legends Launcher
"8379:TCP"= 8379:TCP:League of Legends Launcher
"8379:UDP"= 8379:UDP:League of Legends Launcher
"8380:TCP"= 8380:TCP:League of Legends Launcher
"8380:UDP"= 8380:UDP:League of Legends Launcher
"8395:TCP"= 8395:TCP:League of Legends Launcher
"8395:UDP"= 8395:UDP:League of Legends Launcher
"8396:TCP"= 8396:TCP:League of Legends Launcher
"8396:UDP"= 8396:UDP:League of Legends Launcher
"8381:TCP"= 8381:TCP:League of Legends Launcher
"8381:UDP"= 8381:UDP:League of Legends Launcher
"8397:TCP"= 8397:TCP:League of Legends Launcher
"8397:UDP"= 8397:UDP:League of Legends Launcher
"8382:TCP"= 8382:TCP:League of Legends Launcher
"8382:UDP"= 8382:UDP:League of Legends Launcher
"6935:TCP"= 6935:TCP:League of Legends Launcher
"6935:UDP"= 6935:UDP:League of Legends Launcher
"6930:TCP"= 6930:TCP:League of Legends Launcher
"6930:UDP"= 6930:UDP:League of Legends Launcher
"6992:TCP"= 6992:TCP:League of Legends Launcher
"6992:UDP"= 6992:UDP:League of Legends Launcher
"6900:TCP"= 6900:TCP:League of Legends Launcher
"6900:UDP"= 6900:UDP:League of Legends Launcher
"8398:TCP"= 8398:TCP:League of Legends Launcher
"8398:UDP"= 8398:UDP:League of Legends Launcher
"8383:TCP"= 8383:TCP:League of Legends Launcher
"8383:UDP"= 8383:UDP:League of Legends Launcher
"8393:TCP"= 8393:TCP:League of Legends Lobby
"8393:UDP"= 8393:UDP:League of Legends Lobby
"8390:TCP"= 8390:TCP:League of Legends Game Client
"8390:UDP"= 8390:UDP:League of Legends Game Client
"6934:TCP"= 6934:TCP:League of Legends Launcher
"6934:UDP"= 6934:UDP:League of Legends Launcher
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [10.12.2009 12:16 136360]
R2 FreeAgentGoNext Service;Seagate Service;c:\program files\Seagate\SeagateManager\Sync\FreeAgentService.exe [26.09.2009 00:32 189736]
S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\MUSKEL~1\LOCALS~1\Temp\POM4.tmp --> c:\docume~1\MUSKEL~1\LOCALS~1\Temp\POM4.tmp [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - KLMD25
*Deregistered* - klmd25
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
FF - ProfilePath - c:\documents and settings\Muskeljesus\Application Data\Mozilla\Firefox\Profiles\3gr78hdf.default\
FF - prefs.js: browser.search.selectedEngine - Ecosia
FF - prefs.js: browser.startup.homepage - hxxp://ecosia.org/
FF - prefs.js: keyword.URL - hxxp://ecosia.org/lucky.php?q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-10 16:19
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\docume~1\MUSKEL~1\LOCALS~1\Temp\POM4.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-05-10  16:21:07
ComboFix-quarantined-files.txt  2011-05-10 14:21
.
Vor Suchlauf: 9.869.316.096 bytes free
Nach Suchlauf: 9.806.831.616 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - BCA85D00AFA41546AA3D5FC61A24EBD8
         
--- --- ---
---------------------------------------------------------------------
__________________

Alt 10.05.2011, 15:42   #19
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.05.2011, 16:18   #20
Yakul
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



So erstmal GMER-Log, OSAM wird nachgereicht:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15627 - hxxp://www.gmer.net
Rootkit scan 2011-05-10 17:16:47
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 HDS722580VLAT20 rev.V32OA60A
Running: hio45w2k.exe; Driver: C:\DOCUME~1\MUSKEL~1\LOCALS~1\Temp\kgtdypog.sys


---- System - GMER 1.0.15 ----

SSDT   BA72C26E                                            ZwCreateKey
SSDT   BA72C264                                            ZwCreateThread
SSDT   BA72C273                                            ZwDeleteKey
SSDT   BA72C27D                                            ZwDeleteValueKey
SSDT   BA72C282                                            ZwLoadKey
SSDT   BA72C250                                            ZwOpenProcess
SSDT   BA72C255                                            ZwOpenThread
SSDT   BA72C28C                                            ZwReplaceKey
SSDT   BA72C287                                            ZwRestoreKey
SSDT   BA72C278                                            ZwSetValueKey

Code   \??\C:\DOCUME~1\MUSKEL~1\LOCALS~1\Temp\catchme.sys  pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\ati2mtag.sys            section is writeable [0xB93D8000, 0x1A3F84, 0xE8000020]
?      C:\WINDOWS\system32\Drivers\PROCEXP113.SYS          The system cannot find the file specified. !
?      C:\DOCUME~1\MUSKEL~1\LOCALS~1\Temp\catchme.sys      The system cannot find the file specified. !

---- EOF - GMER 1.0.15 ----
         
--- --- ---


Nun die OSAM-Logs:
OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:24:09 on 10.05.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 4.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOCUME~1\MUSKEL~1\LOCALS~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"GarenaPEngine" (GarenaPEngine) - ? - C:\DOCUME~1\MUSKEL~1\LOCALS~1\Temp\POM4.tmp  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kgtdypog" (kgtdypog) - ? - C:\DOCUME~1\MUSKEL~1\LOCALS~1\Temp\kgtdypog.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"mbr" (mbr) - ? - C:\cofi\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"VClone" (VClone) - "Elaborate Bytes AG" - C:\WINDOWS\System32\DRIVERS\VClone.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "Display Panning CPL Extension" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Encryption Context Menu" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 2.4\program\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shell extensions for file compression" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B7056B8E-4F99-44f8-8CBD-282390FE5428} "VirtualCloneDrive Shell Extension" - "Elaborate Bytes AG" - C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{0D41B8C5-2599-4893-8183-00195EC8D5F9} "asusTek_sysctrl Class" - ? - C:\WINDOWS\DOWNLO~1\ASUSTE~1.DLL / hxxp://support.asus.com/common/asusTek_sys_ctrl.cab
{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} "Java Plug-in 1.6.0_04" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre1.6.0_04\bin\npjpi160_04.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@C:\Program Files\Messenger\Msgslang.dll,-61144" - "Microsoft Corporation" - C:\Program Files\Messenger\msmsgs.exe
"ICQ7.5" - "ICQ, LLC." - C:\Program Files\ICQ7.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{593DDEC6-7468-4cdd-90E1-42DADAA222E9} "DivX HiQ" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
{326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini
-----( %UserProfile%\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Documents and Settings\Muskeljesus\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ICQ" - "ICQ, LLC." - "C:\Program Files\ICQ7.5\ICQ.exe" silent loginmode=4
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"CanonMyPrinter" - "CANON INC." - C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu" - "CANON INC." - C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
"DivX Download Manager" - "DivX, LLC" - "C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe" start
"DivXUpdate" - ? - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"MaxMenuMgr" - "Seagate LLC" - "C:\Program Files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Java\jre6\bin\jusched.exe"
"VirtualCloneDrive" - "Elaborate Bytes AG" - "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Scheduler" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jqs.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"Seagate Service" (FreeAgentGoNext Service) - "Seagate Technology LLC" - C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


Geändert von Yakul (10.05.2011 um 16:25 Uhr)

Alt 10.05.2011, 16:27   #21
Yakul
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



So, zu allerletzt die LOG-File von MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000005c

Kernel Drivers (total 126):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F79000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F68000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F49000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F23000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F0B000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEB000 fltmgr.sys
0xBA0F8000 PxHelp20.sys
0xB9ED4000 KSecDD.sys
0xB9EC1000 WudfPf.sys
0xB9E34000 Ntfs.sys
0xB9E07000 NDIS.sys
0xB9DED000 Mup.sys
0xBA298000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB93D7000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xB93C3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB939B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA3B0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9377000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA3B8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA2B8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA2C8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9354000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA2D8000 \SystemRoot\system32\DRIVERS\l1e51x86.sys
0xBA2E8000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA584000 \SystemRoot\system32\DRIVERS\serenum.sys
0xBA2F8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA3C0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA68B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA308000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA588000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB933D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA318000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA148000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA3C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB932C000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA158000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA3D0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA3D8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB92FC000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA168000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA3E0000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA178000 \SystemRoot\system32\DRIVERS\VClone.sys
0xB9244000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
0xBA5D2000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB91E6000 \SystemRoot\system32\DRIVERS\update.sys
0xB9DC9000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA188000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAD149000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAD125000 \SystemRoot\system32\drivers\portcls.sys
0xBA1B8000 \SystemRoot\system32\drivers\drmk.sys
0xBA1D8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5D8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xACAFE000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xBA5DE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA705000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5E0000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA410000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xBA418000 \SystemRoot\System32\drivers\vga.sys
0xBA5E2000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5E4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA420000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA428000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB91A9000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xACA3B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAC9E2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAC9BA000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAC994000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAC972000 \SystemRoot\System32\drivers\afd.sys
0xBA1F8000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA430000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAC947000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAC8AF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA218000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA228000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBA438000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xAC7D6000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5F2000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0xBA448000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xACAFA000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA248000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xACAF2000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xAC7C5000 \SystemRoot\System32\Drivers\Udfs.SYS
0xAC7AD000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA606000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xACA76000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA468000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA725000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF062000 \SystemRoot\System32\ati2cqag.dll
0xBF0EB000 \SystemRoot\System32\atikvmag.dll
0xBF158000 \SystemRoot\System32\atiok3x2.dll
0xBF19B000 \SystemRoot\System32\ati3duag.dll
0xBF583000 \SystemRoot\System32\ativvaxx.dll
0xBF9C6000 \SystemRoot\System32\ATMFD.DLL
0xAA447000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAA391000 \SystemRoot\system32\DRIVERS\nwlnkipx.sys
0xAC88F000 \SystemRoot\system32\DRIVERS\nwlnknb.sys
0xAA423000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAA0D4000 \SystemRoot\system32\drivers\wdmaud.sys
0xB92BC000 \SystemRoot\system32\drivers\sysaudio.sys
0xA9F33000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAA359000 \SystemRoot\system32\DRIVERS\nwlnkspx.sys
0xA9D9B000 \SystemRoot\system32\DRIVERS\srv.sys
0xA9CCB000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA9A12000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA634000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xA9522000 \SystemRoot\system32\DRIVERS\sr.sys
0xBA4B0000 \??\C:\DOCUME~1\MUSKEL~1\LOCALS~1\Temp\catchme.sys
0xA94DE000 \??\C:\DOCUME~1\MUSKEL~1\LOCALS~1\Temp\kgtdypog.sys
0x7C900000 \WINDOWS\system32\ntdll.dll

Processes (total 29):
0 System Idle Process
4 System
700 C:\WINDOWS\system32\smss.exe
756 csrss.exe
788 C:\WINDOWS\system32\winlogon.exe
832 C:\WINDOWS\system32\services.exe
844 C:\WINDOWS\system32\lsass.exe
1036 C:\WINDOWS\system32\ati2evxx.exe
1056 C:\WINDOWS\system32\svchost.exe
1124 svchost.exe
1228 C:\WINDOWS\system32\svchost.exe
1268 C:\WINDOWS\system32\svchost.exe
1352 svchost.exe
1524 svchost.exe
1628 C:\WINDOWS\system32\ati2evxx.exe
1740 C:\WINDOWS\system32\spoolsv.exe
1816 C:\Program Files\Avira\AntiVir Desktop\sched.exe
192 svchost.exe
1212 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1344 C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe
1448 C:\Program Files\Java\jre6\bin\jqs.exe
1688 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
2180 alg.exe
2684 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3008 C:\WINDOWS\system32\svchost.exe
3844 C:\WINDOWS\system32\svchost.exe
3644 C:\WINDOWS\explorer.exe
3736 C:\Program Files\Mozilla Firefox\firefox.exe
1208 C:\Documents and Settings\Muskeljesus\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000004`e22d6a00 (NTFS)

PhysicalDrive0 Model Number: HDS722580VLAT20, Rev: V32OA60A

Size Device Name MBR Status
--------------------------------------------
76 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Alt 10.05.2011, 16:53   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.05.2011, 16:56   #23
Yakul
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Besten Dank, Arne. Wird gemacht

Alt 10.05.2011, 18:25   #24
Yakul
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



So, hier erstmal das Ergebnis von Malwarebytes':

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6547

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

10.05.2011 19:24:06
mbam-log-2011-05-10 (19-24-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 187523
Laufzeit: 1 Stunde(n), 25 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 10.05.2011, 19:07   #25
Yakul
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Nachtrag bzgl. SUPERAntiSpyware-Log

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 05/10/2011 bei 08:04 PM

Version der Applikation : 4.52.1000

Version der Kern-Datenbank : 7025
Version der Spur-Datenbank : 4837

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:31:21

Gescannte Speicherelemente : 468
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6028
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 55920
Erfasste Datei-Elemente : 0

Ich bedanke mich mal für diese grandiose Betreuung zur Virenbekämpfung.
Arne, danke für die immensen Mühen!

Beste Grüße, ich schaue nun öfters hier vorbei

Alt 10.05.2011, 19:13   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Keine Funde.
Noch Probleme?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.05.2011, 19:17   #27
Yakul
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Alles bestens soweit. Ich beobachte das mal
DANKE!

Alt 10.05.2011, 20:40   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Standard

Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4



Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4
.dll, anti-malware, antivir, csrss.exe, desktop, ergebnis, explorer.exe, file, free, java, java/agent.ka, java/exdoer.bq, java/exdoer.bs, lsass.exe, malwarebytes, microsoft, nt.dll, service pack 3, service.exe, services, services.exe, software, spoolsv.exe, svchost.exe, system, virus, windows, winlogon.exe



Ähnliche Themen: Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4


  1. PC ungewöhnlich langsam, mehrere Viren-/Trojanerfunde!
    Log-Analyse und Auswertung - 12.01.2015 (23)
  2. Avira meldet JAVA/Agent-Viren sowie EXP/Dldr.Java.O und EXP/2012-4681.AD
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (8)
  3. AVSCAN hat mehrere Java-Viren JAVA/Agent.M* und Exploits EXP/CVE-2011-3544 gefunden
    Log-Analyse und Auswertung - 15.10.2012 (24)
  4. Massig Viren und Trojanerfunde durch Avira. EXP/11-3544.EF.1, EXP/12-0507.BK.1, JAVA/Mabowl.F uvm.
    Log-Analyse und Auswertung - 18.07.2012 (10)
  5. TR/EyeStye.N.313 + JAVA/Dldr.Tharra.G gefunden... Was ist zu tun?
    Log-Analyse und Auswertung - 28.08.2011 (27)
  6. nach Infektion mit trojan spyeyes,zbot,agent Java virus funktioniert tastatur nicht mehr
    Log-Analyse und Auswertung - 25.08.2011 (1)
  7. TR/EyeStye.N.105 Avira-Meldung / nach Systemcheck zusätzlich Java/Exdoer.A & Java/Fester.J
    Plagegeister aller Art und deren Bekämpfung - 06.08.2011 (25)
  8. Malware auf Homepage und Rechner gefunden. 'JAVA/Agent.JT' , JAVA/Agent.10515
    Log-Analyse und Auswertung - 31.05.2011 (22)
  9. Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW.
    Plagegeister aller Art und deren Bekämpfung - 05.04.2011 (21)
  10. Massig Viren: JS/Agent.DZ, JAVA/Exdoer.UW, JAVA/Agent.10515
    Plagegeister aller Art und deren Bekämpfung - 04.04.2011 (4)
  11. Trojanische Pferd TR/EyeStye.H.128 und Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI gefunden!
    Plagegeister aller Art und deren Bekämpfung - 26.03.2011 (26)
  12. EyeStye.H103 und EyeStye.H104 sowie OpenConnect.AI von antivir gemeldet
    Plagegeister aller Art und deren Bekämpfung - 01.03.2011 (19)
  13. Avira meldet Befall mit TR/Dldr.Carberp.C.51 und Java/Agent.HT.2 bzw. Java/Agent.ID.2
    Plagegeister aller Art und deren Bekämpfung - 26.11.2010 (14)
  14. Virus gefunden: JAVA/Agent.HR , JAVA/Agent.M.1, JAVA/Rowindal.C
    Plagegeister aller Art und deren Bekämpfung - 13.11.2010 (18)
  15. Java Viren, Trojan.Agent,... + Vista Uhrzeit Problem
    Plagegeister aller Art und deren Bekämpfung - 27.09.2010 (17)
  16. TR/Agent.HM.32, JAVA-Viren und XP-Abbild fehlerhaft...
    Plagegeister aller Art und deren Bekämpfung - 25.07.2010 (16)
  17. Mehrere Viren/ Trojaner u.a. TR/Spy.Gen und JAVA/AGENT.M.1
    Plagegeister aller Art und deren Bekämpfung - 22.07.2010 (3)

Zum Thema Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 - Arne, noch eine kleine Zwischenfrage. Habe soeben mit CC-Cleaner aufgeräumt und bin gerade dabei alle Programme für Combofix zu schließen. 1. Muss ich alle Programme, die ich unter den Taskmanager - Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4...
Archiv
Du betrachtest: Viren-/Trojanerfunde (u. a.): TR/Spy.SpyEyes.hdj // JAVA/Agent.KA (etc.) // TR/EyeStye.N.4 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.