|
u.a. banker.d worm gefunden Hallihallo, habe seit einiger Zeit das Problem, dass sich einzelne Programme selbständig öffnen (überwiegend Outlook, (Zubehör-)Rechner). Mit AntiVir konnte ich bisher nichts feststellen. Bin unter eurer Seite auf e-scan gestossen und siehe da: Diverse Trojaner wurden gefunden (sh. e-Scan-Protokoll und HJT-Logfile) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.6.7 Sprache: English Virus Database Date: 1/19/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: No Action Taken. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken. System found infected with banker.d Worm (helper.dll)! Action taken: No Action Taken. System found infected with wareout Adware (1.dat)! Action taken: No Action Taken. System found infected with wareout Adware (2.dat)! Action taken: No Action Taken. Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\moveex.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Heini\Eigene Dateien\downloads mda\dvd to pocket pc\helper.dll Offending file found: C:\Dokumente und Einstellungen\Heini\Eigene Dateien\mdacompact my documents\uacontents\templates\1.dat Offending file found: C:\Dokumente und Einstellungen\Heini\Eigene Dateien\mdacompact my documents\uacontents\templates\2.dat ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d116827f-68af-11db-8375-001346b195df} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mp3 player.exe not Scanned. Possibly password protected... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Total Critical Objects: 7 Total Disinfected Objects: 0 Total Objects Renamed: 0 Total Deleted Objects: 0 Total Errors: 21 Time Elapsed: 01:07:08 Total Objects Scanned: 105955 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Memory Check: Enabled Registry Check: Enabled System Folder Check: Enabled System Area Check: Disabled Services Check: Enabled Drive Check: Disabled All Drive Check :Enabled All Drive Check :Enabled Batchstart: 15:35:35,32 Batchende: 15:35:51,92 Logfile of HijackThis v1.99.1 Scan saved at 15:04:24, on 20.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\SCROLL~1\MouseElf.EXE C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE C:\Programme\Wireless Device\Wireless Mouse\MouseAp.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\OnlineControl\ocontrol.exe C:\Programme\ScrollMate Mouse\EMouse.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE O4 - Global Startup: Enable Wireless Mouse Driver.lnk = C:\Programme\Wireless Device\Wireless Mouse\MouseAp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O4 - Global Startup: WISO Urteilsmonitor.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\ImapiRox.exe (file missing) O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe O23 - Service: RoxUpnpServer - Sonic Solutions - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe Ich hoffe, es gibt eine Möglichkeit außerhalb von Format: C . Was kann ich also tun? Gruß Heini |
Ups, sorry , hab noch was vergessen: CounterSpy und AntiVir haben mir vor einigen Tagen noch diese Ergebnisse angezeigt: Hier das CounterSpy-Ergebnis: Scan History Details Start Date: 13.01.2008 13:09:51 End Date: 13.01.2008 15:02:55 Total Time: 113 Min 4 Sec Detected security risks PSGuard Rogue Security Program more information... Details: PSGuard is a purported anti-spyware application to scan for and remove spyware from users' computers. Status: Ignored Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard\P.S.Guard HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard\P.S.Guard\License Und hier das AntiVir Log-file: AntiVir PersonalEdition Premium Erstellungsdatum der Reportdatei: Samstag, 12. Januar 2008 13:44 Es wird nach 1027920 Virenstämmen gesucht. Lizenznehmer: Jochen Heinrich Seriennummer: 1100256462-PEPWE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: ARBEITSZIMMER Versionsinformationen: BUILD.DAT : 308 17199 Bytes 19.09.2007 13:41:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 11:36:00 ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08.01.2008 11:36:00 ANTIVIR3.VDF : 7.0.1.227 161280 Bytes 11.01.2008 11:36:00 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 12.01.2008 11:36:01 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 12.01.2008 11:36:01 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2576424 Bytes 07.08.2007 12:50:42 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 13:03:09 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition premium\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Samstag, 12. Januar 2008 13:44 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EMouse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ocontrol.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OSA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MouseAp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DWLGTI.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WrtProc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WrtMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MouseElf.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RoxWatch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RoxMediaDB.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '41' Prozesse mit '41' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '34' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Panda Security\NanoScan\Engine\psnflg.dll [FUND] Ist das Trojanische Pferd TR/Agent.bux.1 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. C:\System Volume Information\_restore{48B68672-9289-46DB-AAD7-5E9EDB5B7F7A}\RP292\A0086318.dll [FUND] Ist das Trojanische Pferd TR/Agent.bux.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47b8f8b5.qua' verschoben! Beginne mit der Suche in 'E:\' Ende des Suchlaufs: Samstag, 12. Januar 2008 18:58 Benötigte Zeit: 5:13:33 min Der Suchlauf wurde vollständig durchgeführt. 5920 Verzeichnisse wurden überprüft 192817 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 192815 Dateien ohne Befall 1637 Archive wurden durchsucht 2 Warnungen 0 Hinweise Falls Ihr weitere Scans benötigt, gebt mir bitte Bescheid. Gruß Heini |
Hi, also Escan hat mal wieder (wie üblich) mit einem Haufen Fehlalarmen einen Computerbesitzer in Angst versetzt. Bei Antivir sieht das ganz danach aus, als ob es ein Fehlalarm auf den Panda-Scan sein könnte. Stellt sich natürlich die Frage, ob Du schon mal einen Pandascan auf diesem Rechner gemacht hast. Die Datei neugt wohl dazu, vermutlcih benutzt sie Rootkitechniken um andere Rootkits entdecken zu können. Der zweite Fund dürfte ihre Sicherung in der Systemwiederherstellung sein. Bleibt eigentlich nur noch Counterspy. Da könnte was dran sein. Warum hast du es nicht entfernen lassen? Das Log ist übrigens unvollständig. Es handelt sich auch nur um Funde in der Registry. Gruß, Karl |
Hallihallo, habe damals die o.g. Funde direkt gelöscht. Mittlerweile treten die eingangs genannten Probleme (selbständiges öffnen der Programme) nicht mehr auf. Ich habe mittlerweile aber ein neues Problem, zu dem ich die anschl. Log-Files aktualisiert noch einmal posten möchten. Programme sind zeitweise nicht mehr über die Maus "bedienbar". Ich muss dann immer über die Task-Leiste minimieren und anschl. wieder hochziehen oder über Alt+Tab in den Programmen hin-und herwechseln um diese wieder lauffähig zu machen. Treiber-Probleme konnte ich bisher ausschließen, da ich auch mit einer anderen Maus die gleichen Probleme habe. Außerdem "zickt" der Mauszeiger rum, scrollt und/oder markiert eigenständig in den geöffneten Progs. Hier nun meine Log-Files: HJT-File Logfile of HijackThis v1.99.1 Scan saved at 17:29:42, on 19.07.2008 Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE O4 - Global Startup: Enable Wireless Mouse Driver.lnk = C:\Programme\Wireless Device\Wireless Mouse\MouseAp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O4 - Global Startup: WISO Urteilsmonitor.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15102/CTPID.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe e-scan-Logfile Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken. Object "banker.d Worm" found in File System! Action Taken: No Action Taken. Object "crisystec sentry 3.0 Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken. Object "wareout Adware" found in File System! Action Taken: No Action Taken. Object "wareout Adware" found in File System! Action Taken: No Action Taken. Object "combo Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "malwarescanner Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken. Object "backdoor (ircbot) trojans Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "combo Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "spyware.expresskeylog Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken. Entry "HKCR\QueueObject" refers to invalid object "{255b3f60-829e-11cf-8d8b-00aa0060f5bf}". Action Taken: No Action Taken. Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" refers to invalid object "C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\gdiplus.dll". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Shared Tools\msoc.dll" refers to invalid object "C:\Programme\Microsoft Office\Office". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Shared Tools\recncl.dll" refers to invalid object "C:\WINDOWS\system32\RECNCL.DLL". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Shared Tools\xlrec.dll" refers to invalid object "C:\WINDOWS\system32\XLREC.DLL". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".c2d". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mozilla Firefox (3.0)". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Navilog1". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Windows Media Format Runtime". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{191D24DA-8FEA-4EF6-8CC3-00B62CA34D49}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{21C6538E-344A-405C-92E9-37559C0ED2EC}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{32971938-65B1-4B38-B483-9A32560B7CF2}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{40CEB0B7-671F-4269-BB20-9388B7BC5FBF}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4757E865-0292-4E04-940D-9C51052A5DD6}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4D072D56-B07B-4798-97B2-B9E7A4F53EAC}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4D11252C-899B-4134-A036-4F1D2C08A7A7}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{57DB7A31-DE03-4F65-85A1-42BB9B37565F}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{6EC77255-2E6B-49C0-B730-9C38410E0A85}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{A06275F4-324B-4E85-95E6-87B2CD729401}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-7AD7-1031-7B44-A81000000003}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AF3CFB9C-A368-43DE-8877-A33B5D91CB71}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{B945219C-C51C-4BD0-BAD5-A3FED95B555F}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{CCFD0EBD-252F-42F4-95AE-01E358EFD87A}". Action Taken: No Action Taken. antivir-scan Avira AntiVir Premium Erstellungsdatum der Reportdatei: Samstag, 19. Juli 2008 10:29 Es wird nach 1475814 Virenstämmen gesucht. Lizenznehmer: Jochen Heinrich Seriennummer: 1100256462-PEPWE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3, v.3264) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: ARBEITSZIMMER Versionsinformationen: BUILD.DAT : 8.1.0.362 20011 Bytes 11.7.2008 12:34:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.7.2008 16:20:34 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.7.2008 16:20:34 LUKE.DLL : 8.1.4.5 164097 Bytes 18.7.2008 16:20:34 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.7.2008 16:20:34 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 14:27:15 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.6.2008 16:26:19 ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 15.7.2008 17:39:33 ANTIVIR3.VDF : 7.0.5.138 321536 Bytes 18.7.2008 16:20:34 Engineversion : 8.1.1.11 AEVDF.DLL : 8.1.0.5 102772 Bytes 15.4.2008 15:29:10 AESCRIPT.DLL : 8.1.0.59 307579 Bytes 18.7.2008 16:20:35 AESCN.DLL : 8.1.0.23 119156 Bytes 16.7.2008 17:39:36 AERDL.DLL : 8.1.0.20 418165 Bytes 27.4.2008 17:54:00 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.7.2008 17:39:36 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.7.2008 16:20:35 AEHEUR.DLL : 8.1.0.43 1339767 Bytes 18.7.2008 16:20:35 AEHELP.DLL : 8.1.0.15 115063 Bytes 31.5.2008 07:30:06 AEGEN.DLL : 8.1.0.29 307573 Bytes 22.6.2008 18:12:26 AEEMU.DLL : 8.1.0.6 430451 Bytes 8.5.2008 05:39:31 AECORE.DLL : 8.1.1.6 172405 Bytes 18.7.2008 16:20:34 AEBB.DLL : 8.1.0.1 53617 Bytes 18.7.2008 16:20:34 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.7.2008 16:20:34 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.7.2008 16:20:34 AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 13:16:24 AVREG.DLL : 8.0.0.1 33537 Bytes 18.7.2008 16:20:34 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.4.2008 15:29:08 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.7.2008 16:20:33 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.4.2008 15:29:09 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.7.2008 16:20:34 NETNT.DLL : 8.0.0.1 7937 Bytes 15.4.2008 15:29:09 RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 18.7.2008 16:20:30 RCTEXT.DLL : 8.0.51.0 90369 Bytes 18.7.2008 16:20:30 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition premium\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Samstag, 19. Juli 2008 10:29 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ocontrol.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OSA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MouseAp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DWLGTI.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WrtProc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTCheck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WrtMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '47' Prozesse mit '47' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '75' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'E:\' Ende des Suchlaufs: Samstag, 19. Juli 2008 12:08 Benötigte Zeit: 1:39:24 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7121 Verzeichnisse wurden überprüft 292742 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 292741 Dateien ohne Befall 3713 Archive wurden durchsucht 1 Warnungen 0 Hinweise und counterspy noch folgendes gefunden: Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard\P.S.Guard HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard\P.S.Guard\License Bin für jede Hilfe dankbar. Gruß Heini |
Als Ergänzung zu meiner eben geposteten Anfrage: Hatte noch einen weiteren scan unter a-squared durchgeführt: a-squared-free-Logfile a-squared Free - Version 3.5 Letztes Update: 18.07.2008 18:41:08 Scan Einstellungen: Objekte: Speicher, Traces, Cookies, C:\, E:\ Archiv Scan: An Heuristik: An ADS Scan: An Scan Beginn: 18.07.2008 18:41:42 c:\windows\system32\taskkeyhook.dll gefunden: Trace.File.Aye Parental Control C:\Dokumente und Einstellungen\Heini\Cookies\heini@windowsmedia[2].txt gefunden: Trace.TrackingCookie C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\Billard.exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\notestodaytrialsetup_both.exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\today task\cLaunch.exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\today task.zip/cLaunch.exe gefunden: Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\wolfclocksetup.exe gefunden: Dialer C:\Programme\Free WMA to MP3 Converter\readmedia.dll gefunden: Trojan-PSW.Win32.OnLineGames.acqh Gescannt Dateien: 207535 Traces: 418609 Cookies: 34 Prozesse: 46 Gefunden Dateien: 21 Traces: 1 Cookies: 1 Prozesse: 0 Registry Keys: 0 Scan Ende: 19.07.2008 05:33:37 Scan Zeit: 10:51:55 C:\Programme\Free WMA to MP3 Converter\readmedia.dll Quarantäne Trojan-PSW.Win32.OnLineGames.acqh C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\Billard.exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\notestodaytrialsetup_both.exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\today task\cLaunch.exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\today task.zip/cLaunch.exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\wolfclocksetup.exe Quarantäne Dialer C:\Dokumente und Einstellungen\Heini\Cookies\heini@windowsmedia[2].txt Quarantäne Trace.TrackingCookie c:\windows\system32\taskkeyhook.dll Quarantäne Trace.File.Aye Parental Control Quarantäne Dateien: 0 Traces: 1 Cookies: 1 Gruß Heini |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board