Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner/Backdoor? Ich vermute einen fiesen Virus. (https://www.trojaner-board.de/58361-trojaner-backdoor-vermute-fiesen-virus.html)

MisterFlames 22.08.2008 14:48
Trojaner/Backdoor? Ich vermute einen fiesen Virus.
 
Hi Leute.
Ich habe den Verdacht, dass ich nen Virus auf meinen PC habe. Ich habe zwar noch nichts so richtig davon gemerkt, aber ich bekomme häufiger Viren-meldungen von antivir. (Backdoor und so. wenn ich nochmal die fehler/viren-meldung bekomme, poste ich sie nachträglich)

Mein HJ logfile


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:59, on 22.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141137933828
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141138078937
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8756 bytes

Ich hoffe jemand kann mir sagen, was ich machen muss, um den Virus los zu werden. Noch besser wäre natürlich, wenn es blos fehlalarm ist. :)

Achso. Also ich habe schon NavHelper deinstalliert, weil das anscheinend fehler verursacht hat.

Gruß, MrFlames :huepp:

Silent sharK 22.08.2008 14:52
Hi, poste bitte den Report bzw. die Ereignisse von Avira.
Das Logfile ist i.O., wenn du willst können wir schauen ob bei dir ein Backdoor Server läuft.

Bei Gelegenheit auch noch das SP3 aufspielen!

solong..

MisterFlames 22.08.2008 14:58
Zitat:
Zitat von Dark Viruz (Beitrag 365043)
Hi, poste bitte den Report bzw. die Ereignisse von Avira.
Das Logfile ist i.O., wenn du willst können wir schauen ob bei dir ein Backdoor Server läuft.

Bei Gelegenheit auch noch das SP3 aufspielen!

solong..
Hi

Erstmal Danke =)

Soll ich mit avira nach viren suchen? habe ich letzten monat gemacht, da war alles in ordnung. Die Viren-Meldungen kamen, als ich 20 minuten den pc laufen lassen habe (habe mittag gegessen :) ). Da kam etwas mit Backdoor und msmsg.exe, glaube ich. ich habe leider den fehler gemacht und bin nicht weiter darauf eingegangen.

Silent sharK 22.08.2008 14:59
Moment,
Zitat:
aber ich bekomme häufiger Viren-meldungen von antivir
Genau die will ich wissen. ;)

MisterFlames 22.08.2008 15:01
Zitat:
Zitat von Dark Viruz (Beitrag 365049)
Moment,

Genau die will ich wissen. ;)
Okay, dann warte ich nen bischen ab. :)
Seltsamerweise kommen die fast nur, wenn ich mal ne längere zeit pc laufen lasse, aber nicht dran bin.

Silent sharK 22.08.2008 15:04
Brauchst du nicht, öffne das AV-Center und geh auf links Übersicht => Ereignisse.
Da kannst du die Ereignisse rauskopieren und hier posten.

solong..

MisterFlames 22.08.2008 15:10
Zitat:
Zitat von Dark Viruz (Beitrag 365056)
Brauchst du nicht, öffne das AV-Center und geh auf links Übersicht => Ereignisse.
Da kannst du die Ereignisse rauskopieren und hier posten.

solong..
Okay, also das sind die beiden Meldungen. Hab ich mit dem löschen vorschnell gehandelt?(kann man dabei überhaupt vorschnell handeln?) :o

Code:
In der Datei 'C:\WINDOWS\system\msmsgs.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.SO' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen
Code:
In der Datei 'C:\WINDOWS\msmsgs.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.SO' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Silent sharK 22.08.2008 15:13
Hört sich nicht gut an.
Erfahrungsgemäß lassen die Dateien sich nicht einfach löschen oder erscheinen immer wieder. Daher gehe wie folgt vor:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system\msmsgs.exe
C:\WINDOWS\msmsgs.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

MisterFlames 22.08.2008 15:36
Zitat:
Zitat von Dark Viruz (Beitrag 365063)
Hört sich nicht gut an.
Erfahrungsgemäß lassen die Dateien sich nicht einfach löschen oder erscheinen immer wieder. Daher gehe wie folgt vor:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system\msmsgs.exe
C:\WINDOWS\msmsgs.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!
Von der datei ist nichts zu finden :crazy:

Habe nach der Virenmeldung nur NavHelper deinstalliert und pc neu gestartet. Also entweder wurde die datei durch antivir gelöscht oder ich hab nen problem :balla:

Gruß, Flames :)

Silent sharK 22.08.2008 17:27
Ok, dann arbeite folgendes nach der Reihe ab:

1.)
SDFix anwenden:
  • Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
    http://img.bleepingcomputer.com/swr-...ix-install.jpg
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

2.)
MalwareBytes Anti-Malware:
  • Lade dir MalwareBytes Anti-Malware
  • Folge den Anweisungen der Anleitung und poste das Logfile

MisterFlames 22.08.2008 18:37
also schonmal nr1

Code:
SDFix: Version 1.218
Run by Martin on 22.08.2008 at 19:17

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper 
Restoring Default ScreenSaver value

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\lphctg7j0eaae.exe - Deleted
C:\WINDOWS\SYSTEM32\PHCTG7~1.BMP - Deleted
C:\WINDOWS\system32\blphctg7j0eaae.scr - Deleted
C:\WINDOWS\EBAN.EXE - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\index.htm - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\images\capt.gif - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\images\danger.jpg - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\images\down.gif - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger\images\spacer.gif - Deleted
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\ubi15.tmp.exe - Deleted
C:\Dokumente und Einstellungen\Martin\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Martin\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Martin\Favoriten\Spyware&Malware Protection.url - Deleted
C:\WINDOWS\mslagent\2_mslagent.dll - Deleted
C:\WINDOWS\mslagent\mslagent.exe - Deleted
C:\WINDOWS\mslagent\uninstall.exe - Deleted
C:\Programme\akl\akl.dll - Deleted
C:\Programme\akl\akl.exe - Deleted
C:\Programme\akl\uninstall.exe - Deleted
C:\Programme\akl\unsetup.exe - Deleted
C:\Programme\Inet Delivery\inetdl.exe - Deleted
C:\Programme\Inet Delivery\intdel.exe - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\.tt4C.tmp - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\.tt4E.tmp - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\sfsrv.exe.bat - Deleted
C:\WINDOWS\a.bat - Deleted
C:\WINDOWS\wnlmdakqnwt.dll - Deleted
C:\WINDOWS\zip1.tmp - Deleted
C:\WINDOWS\zip2.tmp - Deleted
C:\WINDOWS\zip3.tmp - Deleted
C:\WINDOWS\zipped.tmp - Deleted
C:\DOKUME~1\Martin\LOKALE~1\Temp\s1265.php.bat  - Deleted
C:\WINDOWS\a.bat  - Deleted
C:\WINDOWS\base64.tmp  - Deleted
C:\WINDOWS\bdn.com  - Deleted
C:\WINDOWS\bgrqfetx.dll  - Deleted
C:\WINDOWS\FVProtect.exe  - Deleted
C:\WINDOWS\iTunesMusic.exe  - Deleted
C:\WINDOWS\lnvegaow.exe  - Deleted
C:\WINDOWS\mssecu.exe  - Deleted
C:\WINDOWS\system32\akttzn.exe  - Deleted
C:\WINDOWS\system32\anticipator.dll  - Deleted
C:\WINDOWS\system32\awtoolb.dll  - Deleted
C:\WINDOWS\system32\bdn.com  - Deleted
C:\WINDOWS\system32\bsva-egihsg52.exe  - Deleted
C:\WINDOWS\system32\dpcproxy.exe  - Deleted
C:\WINDOWS\system32\emesx.dll  - Deleted
C:\WINDOWS\system32\h@tkeysh@@k.dll  - Deleted
C:\WINDOWS\system32\hoproxy.dll  - Deleted
C:\WINDOWS\system32\hxiwlgpm.dat  - Deleted
C:\WINDOWS\system32\hxiwlgpm.exe  - Deleted
C:\WINDOWS\system32\medup012.dll  - Deleted
C:\WINDOWS\system32\medup020.dll  - Deleted
C:\WINDOWS\system32\msgp.exe  - Deleted
C:\WINDOWS\system32\msnbho.dll  - Deleted
C:\WINDOWS\system32\mssecu.exe  - Deleted
C:\WINDOWS\system32\msvchost.exe  - Deleted
C:\WINDOWS\system32\mtr2.exe  - Deleted
C:\WINDOWS\system32\mwin32.exe  - Deleted
C:\WINDOWS\system32\netode.exe  - Deleted
C:\WINDOWS\system32\newsd32.exe  - Deleted
C:\WINDOWS\system32\ps1.exe  - Deleted
C:\WINDOWS\system32\psof1.exe  - Deleted
C:\WINDOWS\system32\psoft1.exe  - Deleted
C:\WINDOWS\system32\regc64.dll  - Deleted
C:\WINDOWS\system32\regm64.dll  - Deleted
C:\WINDOWS\system32\Rundl1.exe  - Deleted
C:\WINDOWS\system32\sncntr.exe  - Deleted
C:\WINDOWS\system32\ssurf022.dll  - Deleted
C:\WINDOWS\system32\ssvchost.com  - Deleted
C:\WINDOWS\system32\ssvchost.exe  - Deleted
C:\WINDOWS\system32\sysreq.exe  - Deleted
C:\WINDOWS\system32\taack.dat  - Deleted
C:\WINDOWS\system32\taack.exe  - Deleted
C:\WINDOWS\system32\temp#01.exe  - Deleted
C:\WINDOWS\system32\thun.dll  - Deleted
C:\WINDOWS\system32\thun32.dll  - Deleted
C:\WINDOWS\system32\VBIEWER.OCX  - Deleted
C:\WINDOWS\system32\vbsys2.dll  - Deleted
C:\WINDOWS\system32\vcatchpi.dll  - Deleted
C:\WINDOWS\system32\winlogonpc.exe  - Deleted
C:\WINDOWS\system32\winsystem.exe  - Deleted
C:\WINDOWS\system32\WINWGPX.EXE  - Deleted
C:\WINDOWS\tfnslopk.dll  - Deleted
C:\WINDOWS\userconfig9x.dll  - Deleted
C:\WINDOWS\winsystem.exe  - Deleted
C:\WINDOWS\xokvrpwg.dll  - Deleted



Folder C:\DOKUME~1\Martin\LOKALE~1\Temp\privacy_danger - Removed
Folder C:\Programme\akl - Removed
Folder C:\Programme\Inet Delivery - Removed
Folder C:\WINDOWS\mslagent - Removed


Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 19:32:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:57,9e,91,d2,56,d7,ed,80,45,03,1f,ff,8c,5c,d1,d6,d8,3c,23,49,7c,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,53,76,f1,3e,39,ab,84,ea,47,d9,c4,9d,65,10,d5,4c,d5,..
"khjeh"=hex:36,aa,47,af,8a,9e,0e,1a,0c,ce,54,e2,d1,ab,b1,9d,be,90,db,19,fa,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:9d,93,ef,48,1b,38,f5,8e,c9,ea,55,b0,7a,3d,2a,29,0a,db,f9,85,65,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:57,9e,91,d2,56,d7,ed,80,45,03,1f,ff,8c,5c,d1,d6,d8,3c,23,49,7c,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,53,76,f1,3e,39,ab,84,ea,47,d9,c4,9d,65,10,d5,4c,d5,..
"khjeh"=hex:36,aa,47,af,8a,9e,0e,1a,0c,ce,54,e2,d1,ab,b1,9d,be,90,db,19,fa,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:9d,93,ef,48,1b,38,f5,8e,c9,ea,55,b0,7a,3d,2a,29,0a,db,f9,85,65,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\Programme\\AOL 9.0\\AOL.exe"="C:\\Programme\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\AOL 9.0\\WAOL.exe"="C:\\Programme\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\\Sierra\\EE-ZDE\\EE-AOC.exe"="C:\\Sierra\\EE-ZDE\\EE-AOC.exe:*:Enabled:EE-AOC"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\sacred.exe"="C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\sacred.exe:*:Enabled:Sacred"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausfhren"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat:*:Enabled:Die Schlacht um MittelerdeT II"
"C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\gameserver.exe"="C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\gameserver.exe:*:Enabled:Sacred Gameserver"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat:*:Enabled:patchgrabber"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\America's Army\\System\\ArmyOps.exe"="C:\\Programme\\America's Army\\System\\ArmyOps.exe:*:Enabled:ArmyOps"
"C:\\Programme\\audioGnome\\Client4.exe"="C:\\Programme\\audioGnome\\Client4.exe:*:Disabled:Client4"
"C:\\Programme\\eMule\\eMule.exe"="C:\\Programme\\eMule\\eMule.exe:*:Enabled:eMule Plus"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\Silkroad\\SilkErrSender.exe"="C:\\Programme\\Silkroad\\SilkErrSender.exe:*:Enabled:FTPSender MFC ?? ????"
"C:\\Games\\FreeSpace2\\FS2.exe"="C:\\Games\\FreeSpace2\\FS2.exe:*:Enabled:FreeSpace"
"C:\\Programme\\THQ\\Titan Quest\\Titan Quest.exe"="C:\\Programme\\THQ\\Titan Quest\\Titan Quest.exe:*:Enabled:Titan Quest"
"C:\\Programme\\Warez\\Warez.exe"="C:\\Programme\\Warez\\Warez.exe:*:Enabled:Warez3"
"C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"="C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe:*:Enabled:artpschd"
"C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\OLMNOPUN\\CabalTemp\\ESTdnheadless.exe"="C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\OLMNOPUN\\CabalTemp\\ESTdnheadless.exe:*:Enabled:EST! download engine"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\andere\\srobot.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\andere\\srobot.exe:*:Enabled:HookSrv"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\Wichtig!\\LittleFighter2\\LF2_v1.9\\lf2.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\Wichtig!\\LittleFighter2\\LF2_v1.9\\lf2.exe:*:Enabled:lf2"
"C:\\Programme\\LittleFighter2\\LF2_v1.9\\lf2.exe"="C:\\Programme\\LittleFighter2\\LF2_v1.9\\lf2.exe:*:Enabled:lf2"
"C:\\Programme\\Hamachi\\hamachi.exe"="C:\\Programme\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"C:\\Programme\\metal oxide software\\Downhill PAKOON! 2.Many Unlimited 2009\\Pakoon2.exe"="C:\\Programme\\metal oxide software\\Downhill PAKOON! 2.Many Unlimited 2009\\Pakoon2.exe:*:Disabled:downhill Pakoon2.MANY unlimited 2009"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server"
"C:\\Programme\\Microsoft Games\\Dungeon Siege\\DungeonSiege.exe"="C:\\Programme\\Microsoft Games\\Dungeon Siege\\DungeonSiege.exe:*:Enabled:Dungeon Siege Game Executable"
"C:\\Programme\\Metin2\\metin2.bin"="C:\\Programme\\Metin2\\metin2.bin:*:Enabled:metin2"
"C:\\WINDOWS\\system32\\msmsgs.exe"="C:\\WINDOWS\\system32\\msmsgs.exe:*:Disabled:msmsgs"
"C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\4NLRIY7P\\Intel%20chiputil[1].exe"="C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\4NLRIY7P\\Intel%20chiputil[1].exe:*:Enabled:ChipUtil"
"C:\\Programme\\THQ\\Titan Quest Immortal Throne\\Tqit.exe"="C:\\Programme\\THQ\\Titan Quest Immortal Throne\\Tqit.exe:*:Enabled:Tqit"
"C:\\Programme\\Microsoft Games\\Age of Mythology\\aomx.exe"="C:\\Programme\\Microsoft Games\\Age of Mythology\\aomx.exe:*:Enabled:Age of Mythology - The Titans Expansion"
"C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temp\\Rar$EX00.844\\volley.exe"="C:\\Dokumente und Einstellungen\\Martin\\Lokale Einstellungen\\Temp\\Rar$EX00.844\\volley.exe:*:Enabled:volley"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\SPIELE\\andere spiele\\Blobby\\volley.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\SPIELE\\andere spiele\\Blobby\\volley.exe:*:Enabled:volley"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Xfire\\xfire.exe"="C:\\Programme\\Xfire\\xfire.exe:*:Enabled:Xfire"
"C:\\Programme\\Ascaron Entertainment\\Sacred\\sacred.exe"="C:\\Programme\\Ascaron Entertainment\\Sacred\\sacred.exe:*:Enabled:Sacred"
"C:\\Programme\\Ascaron Entertainment\\Sacred\\GameServer.exe"="C:\\Programme\\Ascaron Entertainment\\Sacred\\GameServer.exe:*:Enabled:Sacred Gameserver"
"C:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"="C:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe:*:Enabled:Stronghold 2"
"C:\\Programme\\LittleFighter2_2\\LF2_v1.9\\lf2.exe"="C:\\Programme\\LittleFighter2_2\\LF2_v1.9\\lf2.exe:*:Enabled:lf2"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\GAMES\\andere spiele\\Blobby\\volley.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\GAMES\\andere spiele\\Blobby\\volley.exe:*:Enabled:volley"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"="C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe:*:Enabled:Age of Empires III"
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"="C:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs"
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe"="C:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe:*:Enabled:Age of Empires III - The Asian Dynasties"
"C:\\Dokumente und Einstellungen\\Martin\\Desktop\\GAMES\\Strategie\\Age of Empires II\\empires2.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\GAMES\\Strategie\\Age of Empires II\\empires2.exe:*:Enabled:Age of Empires II"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Programme\\Gravity\\Requiem\\system\\DebugSystem.exe"="C:\\Programme\\Gravity\\Requiem\\system\\DebugSystem.exe:*:Enabled:DebugSystem"
"C:\\Programme\\Glest_3.1.2\\glest.exe"="C:\\Programme\\Glest_3.1.2\\glest.exe:*:Enabled:glest"
"C:\\Games\\Fussball Challenge 2008 (SPORT1)\\Game.exe"="C:\\Games\\Fussball Challenge 2008 (SPORT1)\\Game.exe:*:Enabled:Game"
"C:\\Programme\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe"="C:\\Programme\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:pandora"
"C:\\Programme\\TmNationsForever\\TmForever.exe"="C:\\Programme\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"
"C:\\Programme\\Freeciv-2.1.4-win32\\civserver.exe"="C:\\Programme\\Freeciv-2.1.4-win32\\civserver.exe:*:Enabled:civserver"
"C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"="C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe:*:Enabled:Jedi Academy MultiPlayer"
"C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jampDed.exe"="C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jampDed.exe:*:Enabled:Jedi Academy MP Dedicated Server"
"C:\\Programme\\LucasArts\\KotF Jedi Academy Expansion Pack\\GameData\\jamp.exe"="C:\\Programme\\LucasArts\\KotF Jedi Academy Expansion Pack\\GameData\\jamp.exe:*:Enabled:Jedi Academy MultiPlayer"
"C:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"="C:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe:*:Enabled:Star Wars: Empire at War"
"C:\\Programme\\LucasArts\\Star Wars Empire at War Forces of Corruption\\swfoc.exe"="C:\\Programme\\LucasArts\\Star Wars Empire at War Forces of Corruption\\swfoc.exe:*:Enabled:Star Wars(TM): Empire at War(TM): Forces of Corruption(TM)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\Programme\\AOL 9.0\\AOL.exe"="C:\\Programme\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\AOL 9.0\\WAOL.exe"="C:\\Programme\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 10 May 2004        54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004      156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Mon 10 May 2004        31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004      428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Wed 13 Oct 2004    1,694,208 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Tue 28 Feb 2006            8 ..SHR --- "C:\WINDOWS\system32\7512B216B4.sys"
Sun  1 Jun 2008            56 ..SHR --- "C:\WINDOWS\system32\7B2B38A438.sys"
Sun  1 Jun 2008        5,018 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue 25 Apr 2006        4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 28 May 2006          401 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv12.bak"
Tue 26 Dec 2006          401 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv13.bak"
Fri 29 Dec 2006            0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Mon 13 Nov 2006      319,456 A..H. --- "C:\Programme\Gemeinsame Dateien\Motorola Shared\MotPCSDrivers\difxapi.dll"
Tue 25 Apr 2006        4,348 ...H. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Tue 25 Apr 2006            20 A..H. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Tue 25 Apr 2006          312 A.SH. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Tue 25 Apr 2006        4,348 ...H. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Tokcicity\Lizenzsicherung\drmv1key.bak"
Tue 26 Dec 2006          782 A..H. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Tokcicity\Lizenzsicherung\drmv1lic.bak"
Tue 25 Apr 2006          312 A.SH. --- "C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Musik\Tokcicity\Lizenzsicherung\drmv2key.bak"

Finished!
hj kommt gleich (zu langer text deshalb schonma sry für doppelposts)

MisterFlames 22.08.2008 18:38
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:55, on 22.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141137933828
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141138078937
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8667 bytes

Silent sharK 22.08.2008 18:50
Hi,
also Neuaufsetzen wäre die sicherste Variante, das schonmal vorab.
Du solltest aber auf jedenfall all deine Zugangsdaten bzw. Passwörter von einem sauberen System aus ändern!

Du kannst dich jetzt eintscheiden, ob du Neuaufsetzen oder den Versuch zu Bereinigen durchziehn willst.

mfg

MisterFlames 22.08.2008 18:58
Zitat:
Zitat von Dark Viruz (Beitrag 365162)
Hi,
also Neuaufsetzen wäre die sicherste Variante, das schonmal vorab.
Du solltest aber auf jedenfall all deine Zugangsdaten bzw. Passwörter von einem sauberen System aus ändern!

Du kannst dich jetzt eintscheiden, ob du Neuaufsetzen oder den Versuch zu Bereinigen durchziehn willst.

mfg
Ich bedanke mich aufjedenfall für die schnelle und gute hilfe.
erstmal muss ich noch malwarebytes zuende machen ja?

ok also.. wie ist das mit den versuch zu bereinigen gemeint? ich werd mir überlegen den pc neuaufzusetzen. hab viele daten drauf die ich noch brauche, wenn ich die übernehme (per mp3 stick oder so), könnten dadurch auch viren übernommen werden (theoretisch)?

Gruß, Flames

Silent sharK 22.08.2008 19:00
MalwareBytes zuende führen, ja.
Zitat:
ok also.. wie ist das mit den versuch zu bereinigen gemeint? ich werd mir überlegen den pc neuaufzusetzen. hab viele daten drauf die ich noch brauche, wenn ich die übernehme (per mp3 stick oder so), könnten dadurch auch viren übernommen werden (theoretisch)?
Also ich wollte damit sagen, das durch die Bereinigung der Systemzustand nicht mehr 100% vertrauenswürdig wird. Datensicherung kannst du betreiben, indem du (am besten) von einer Live CD wie Knoppix oder BartPE bootest und von da deine Daten auf deine USB Platte, etc. ziehst.

mfg


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:25 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131