|
TR/Buzus.diyx / Trojaner Hi zusammen, heute wurde ich von meiner AV-Software auf einen Trojaner aufmerksam gemacht. Die Meldung kam durch das starten von Tuneup-Utilities, Einklickwartung. Bei Google bin ich auf andere Versionen der Trojaners gestossen, bei Avira selbst wurde zu dieser Version auch noch nichts berichtet. Aufmerksam wurde ich als mein System deutlich langsamer wurde, z.b. die Performance bei Spielen. Avira-EreignisFundMeldung: ** In der Datei 'C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\Thinstall\Cache\Stubs\327d2c335d6868925fd518229c1b7422dc2effc\TuneUpUtilitiesService32.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.diyx' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben ** Das war die erste Meldung, folgende Meldung drehten sich um den gleichen Ordner und die gleiche Datei, DOCH ÄNDERTEN den Dateinamen wiE folgt: ** TuneUpUtilitiesService32.exe.adcbd8.tmp ** ** TuneUpUtilitiesService32.exe.adcbd8.VIR ** usw. .. Hier mal mein Log von Hijack und danke im vorraus für eure Mühe. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:23:34, on 26.03.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\Brmfrmps.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\NetLimiter 2 Monitor\nlsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\DOKUME~1\*********\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\TuneUp Utilities (VMware ThinApp)\TuneUp 1-Click Maintenance.exe C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\*********\LOKALE~1\Temp\Rar$EX00.235\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA50F5C-AF68-4713-A549-F7DCAAC64937}: NameServer = 195.50.140.178 195.50.140.248 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Monitor\nlsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 5870 bytes Mfg Yoshi |
Hallo und :hallo: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Hi Cosinus, danke an der Stelle für die schnelle Antwort. Liste abgearbeitet, Logs wie gewünscht gezippt, hier der Link: hxxp://w*w.file-upload.net/download-2382504/Logs.rar.html Folgendes noch: In dem Archiv sind 2 Ordner mit jeweils der abgearbeiteten Liste ( CC, Malware, RSIT), weil: Ich habe die Liste das erste mal abgearbeitet und nach den jeweiligen Aufforderungen einen Neustart durchgeführt. Nach dem ersten mal habe ich die Einklickwartung von Tuneup durchgeführt (da bekam ich das erste mal die Meldung von Avira wegen dem Trojaner). Leider kam die Meldung wieder, der Trojaner ist immer noch vorhanden, gleicher Ort wie vorher (Pfad von der Avira-Meldung). Habe daraufhin Tuneup deinstalliert (hoffe das war kein Fehler) und die Liste nochmal abgearbeitet und die entsprechenden Logs mit eingefügt. Mfg Yoshi |
Du hast mit Malwarebytes nur Quickscans gemacht, gefordert sind aber Vollscans! |
Hei Cosinus, hier der Log von Malwarebytes: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3921 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 27.03.2010 19:00:36 mbam-log-2010-03-27 (19-00-36).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 199279 Laufzeit: 1 hour(s), 8 minute(s), 24 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\*********\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*********\Desktop\newshit\Spiele\monopolie0.9.7-installer.exe (Adware.UCMore) -> Quarantined and deleted successfully. C:\Programme\Universal Document Converter\universal.document.converter.4.2.patch.fixed-patch.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully. Lasse gerade noch einmal einen Vollscan durchlaufen. Mfg Yoshi |
So, hier noch mal ein danke für deine Zeit die du investiert hast Cosinus :) hier habe ich die Anleitung nochmal komplett durchlaufen lassen (CCleaner, MalwareBytes und RSIT sowie ein HJT-Logfile). hxxp://w*w.file-upload.net/download-2387936/Logs2.rar.html Die Angegebenen Ordner von der Avira-Meldung (erster post) wo der Trojaner sich befindet sind nicht mehr vorhanden: C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\Thinstall >> und folgende Auch würde mich an der Stelle interessieren ob sich nachvollziehen lässt wo ich mir das Ding :confused: eingefangen habe. Mfg Yoshi |
Zitat:
|
Hei Arne, das ist ein Demo-Programm zur Konvertierung von Dokumenten ins PDF- Format, solche Programme lade ich in der Regel von Chip.de runter. Was das genau mit dem fixen auf sich hat kann ich dir leider nicht mehr sagen, das Prog hatte ich noch 2008 Installiert. Vielleicht einfache Update-Funktion vom dem Prog selbst? Habe wohl gerade nachgeschaut, der Ornder ist leer, geht nur bis C:\Programme\Universal Document Converter Mfg Yoshi |
Sry hab Deinen Strang übersehen. Mach mal bitte ein Log mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi Arne, hier das Combofix-Logfile: ComboFix 10-04-03.02 - *********** 05.04.2010 7:32.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.682 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***********\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\*********\Anwendungsdaten\Desktopicon c:\dokumente und einstellungen\*********\Anwendungsdaten\Desktopicon\config.ini c:\windows\AppPatch\AcAdProc.dll c:\windows\system32\SIntf16.dll . ((((((((((((((((((((((( Dateien erstellt von 2010-03-05 bis 2010-04-05 )))))))))))))))))))))))))))))) . 2010-03-30 16:55 . 2005-08-25 17:18 118784 ----a-w- c:\windows\system32\MSSTDFMT.DLL 2010-03-30 16:55 . 2010-03-31 02:23 -------- d-----w- c:\programme\SpywareBlaster 2010-03-30 13:01 . 2010-03-30 13:01 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\Avira 2010-03-27 07:53 . 2010-03-28 23:26 -------- d-----w- c:\programme\trend micro 2010-03-27 07:06 . 2010-03-28 23:27 -------- d-----w- C:\rsit 2010-03-27 06:43 . 2010-03-27 06:43 -------- d-----w- c:\programme\CCleaner 2010-03-26 19:24 . 2010-03-26 19:24 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\Malwarebytes 2010-03-26 19:23 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-26 19:23 . 2010-03-26 19:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-03-26 19:23 . 2010-03-30 00:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-03-26 19:23 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-26 17:53 . 2010-03-26 17:53 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Thinstall 2010-03-13 15:02 . 2010-03-13 15:02 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\ShareTV . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-05 05:36 . 2008-01-15 02:40 24 ----a-w- c:\windows\system32\DVCStateBkp-{00000004-00000000-00000008-00001102-00000002-00201102}.dat 2010-04-05 05:36 . 2008-01-15 02:40 24 ----a-w- c:\windows\system32\DVCState-{00000004-00000000-00000008-00001102-00000002-00201102}.dat 2010-03-31 02:24 . 2009-09-06 16:12 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-03-31 01:25 . 2007-10-18 20:31 -------- d-----w- c:\programme\PokerStars 2010-03-30 18:03 . 2007-10-16 09:05 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\ICQ 2010-03-30 13:13 . 2007-07-04 04:16 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\OpenOffice.org2 2010-03-30 00:35 . 2010-03-30 00:35 5918720 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-03-29 15:13 . 2001-08-18 12:00 80030 ----a-w- c:\windows\system32\perfc007.dat 2010-03-29 15:13 . 2001-08-18 12:00 448818 ----a-w- c:\windows\system32\perfh007.dat 2010-03-27 18:00 . 2008-10-29 12:58 -------- d-----w- c:\programme\Universal Document Converter 2010-03-27 07:31 . 2009-12-08 11:53 -------- d-----w- c:\programme\TuneUp Utilities (VMware ThinApp) 2010-03-27 06:49 . 2007-10-05 14:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-03-07 17:00 . 2006-12-08 17:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2010-03-02 09:04 . 2010-03-02 09:04 -------- d-----w- c:\programme\ImTOO 2010-03-01 07:05 . 2009-05-18 16:35 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-02-25 04:27 . 2009-12-13 21:18 -------- d-----w- c:\programme\PartyGaming 2010-02-22 03:05 . 2009-12-18 00:28 21840 ----atw- c:\windows\system32\SIntfNT.dll 2010-02-22 03:05 . 2009-12-18 00:28 17212 ----atw- c:\windows\system32\SIntf32.dll 2010-02-16 11:24 . 2009-05-18 16:35 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-02-14 18:23 . 2010-02-14 18:21 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\FreeFLVConverter 2010-02-14 18:21 . 2010-02-14 18:21 -------- d-----w- c:\programme\Free FLV Converter 2010-01-24 14:58 . 2007-07-31 14:18 22376 ----a-w- c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-01-24 08:00 . 2006-07-28 12:53 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248] "SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760] "Jet Detection"="c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 28672] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GetRight - Tray Icon.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\GetRight - Tray Icon.lnk backup=c:\windows\pss\GetRight - Tray Icon.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Privoxy.lnk backup=c:\windows\pss\Privoxy.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RAMASST.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\RAMASST.lnk backup=c:\windows\pss\RAMASST.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk backup=c:\windows\pss\Status Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^*********^Startmenü^Programme^Autostart^FAXRX.lnk] path=c:\dokumente und einstellungen\*********\Startmenü\Programme\Autostart\FAXRX.lnk backup=c:\windows\pss\FAXRX.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^*********^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk] path=c:\dokumente und einstellungen\*********\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk backup=c:\windows\pss\OpenOffice.org 2.2.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] 2008-08-05 14:43 4608 ----a-w- c:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoRun] 2009-08-23 13:08 102400 ----a-w- c:\programme\BEWERBUNGSMASTER\UpdateCheck_BEWERBUNGSMASTER.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0] 2004-07-20 07:34 851968 ------w- c:\programme\Brother\ControlCenter2\brctrcen.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeskSpace] 2008-08-20 13:39 1639424 ----a-w- c:\programme\DeskSpace\deskspace.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FlashMute] 2006-03-11 19:49 221184 ----a-w- c:\programme\FlashMute\flashmute.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] 2009-11-16 15:36 172792 ----a-w- c:\programme\ICQ6.5\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch] 2004-03-09 14:15 40960 ----a-w- c:\programme\ScanSoft\PaperPort\IndexSearch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] 2008-05-03 03:46 1630208 ----a-w- c:\windows\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD] 2004-03-09 13:54 57393 ----a-w- c:\programme\ScanSoft\PaperPort\pptd40nt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2007-04-27 07:41 282624 ----a-w- c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt] 2004-05-25 07:16 49152 ------w- c:\programme\Brother\Brmfl04b\BrStDvPt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] 2006-12-11 18:41 25343016 ----a-w- c:\programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] 2008-09-16 11:16 1833296 ------w- c:\programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] 2003-10-14 08:22 155648 ----a-r- c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] 2010-02-21 16:27 1217872 ----a-w- d:\steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-01-23 04:50 136600 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg] 2000-05-10 23:00 90112 ------w- c:\windows\Updreg.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] 2008-08-28 08:18 3660848 ----a-w- c:\programme\Veoh Networks\Veoh\VeohClient.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Steam\\SteamApps\\mastakilla68\\counter-strike source\\hl2.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"= R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25.11.2007 05:00 716272] R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [23.04.2007 18:08 81688] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.05.2009 18:35 135336] S3 cpuz;cpuz;\??\d:\programme\System\cpuz.sys --> d:\programme\System\cpuz.sys [?] S3 drhard;DRHARD;c:\windows\system32\drivers\drhard.sys [11.05.2009 23:01 23600] S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [01.07.2009 20:39 89256] S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [01.07.2009 20:40 15016] S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [01.07.2009 20:40 120744] S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [01.07.2009 20:40 114216] S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [01.07.2009 20:40 25512] S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [01.07.2009 20:40 110632] S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [01.07.2009 20:40 115752] S3 SER120;OTI Serial port driver;c:\windows\system32\drivers\ser120.sys [29.09.2006 16:17 32910] . Inhalt des "geplante Tasks" Ordners 2010-03-27 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-01-10 13:42] . . ------- Zusätzlicher Suchlauf ------- . uDefault_Search_URL = hxxp://www.google.com/ie uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s FF - ProfilePath - c:\dokumente und einstellungen\*********\Anwendungsdaten\Mozilla\Firefox\Profiles\86rdo4q3.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2346068&SearchSource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - Softonic Deutsch Qast Customized Web Search FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-BitTorrent - c:\programme\BitTorrent\bittorrent.exe MSConfigStartUp-DAEMON Tools-1033 - c:\programme\D-Tools\daemon.exe MSConfigStartUp-Hide IP Platinum - c:\programme\Hide IP Platinum\hideippla.exe MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe MSConfigStartUp-Lexmark 1200 Series - c:\programme\Lexmark 1200 Series\lxczbmgr.exe MSConfigStartUp-memo site kind that - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\load rdr.exe MSConfigStartUp-real tons - c:\dokume~1\*********\ANWEND~1\BAGSSI~1\Face Keep.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-04-05 07:38 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spwc.sys >>UNKNOWN [0x8738C938]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7633f28 \Driver\ACPI -> ACPI.sys @ 0xf7490cb8 \Driver\atapi -> atapi.sys @ 0xf7425b40 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15 user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2892) c:\windows\system32\PortableDeviceApi.dll c:\windows\system32\Audiodev.dll c:\windows\system32\WMVCore.DLL c:\windows\system32\WMASF.DLL c:\windows\system32\SSSensor.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Sygate\SPF\smc.exe c:\windows\system32\brss01a.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\windows\system32\Brmfrmps.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\NetLimiter 2 Monitor\nlsvc.exe c:\windows\system32\nvsvc32.exe c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe c:\windows\system32\wscntfy.exe c:\programme\NetLimiter 2 Monitor\NLClient.exe c:\windows\system32\RUNDLL32.EXE c:\windows\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-04-05 07:46:20 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-05 05:46 Vor Suchlauf: 733.286.400 Bytes frei Nach Suchlauf: 694.337.536 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff Windows XP Professional" /noexecute=optin /fastdetect Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4 - - End Of File - - C89C597C5AEACE21EC8DE44E2F2042D1 Mfg Yoshi |
Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
So, hier erstmal der Malawarebytes-Log: Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3957 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05.04.2010 19:42:48 mbam-log-2010-04-05 (19-42-48).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 178606 Laufzeit: 1 Stunde(n), 6 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SAS-Log: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 04/06/2010 at 03:13 AM Application Version : 4.35.1000 Core Rules Database Version : 4772 Trace Rules Database Version: 2584 Scan type : Complete Scan Total Scan Time : 01:04:22 Memory items scanned : 479 Memory threats detected : 0 Registry items scanned : 5156 Registry threats detected : 0 File items scanned : 81386 File threats detected : 1 Trojan.Agent/Gen-ImageDocFake D:\PROGRAMME\SCHULE&CO\STUDIUMFONTYS\POP-TOOLBOX1\POP-TOOLBOX2.DOC Die Angezeigte infizierte Datei habe ich noch 2004 zu Studienzeiten vom Uni-Server gezogen, wenn ich mit nicht irre war das kurz gesagt ein Programm das die Daten für eine Selbstreflexion speichert. Mfg Yoshi Mfg Yoshi |
Dann isses ok. Wenn keine Probleme mehr da sind, bitte die Updates prüfen: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hei Arne, ja an der Stelle nen dickes Danke ! :Boogie: Saucool das ihr Jungs euch dafür Zeit nehmt. Wenn du mal in der Nähe von Mönchengladbach bist schick ne PM, hast nen Gutschein für einmal Eisessen in unserem Eiscafe bis du Bauchweh hast :lach: ! Mfg Yoshi |
Eis? Hört sich gut an, ich bin aber eher für :party: :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board