Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows-"Start" (https://www.trojaner-board.de/53402-windows-start.html)

Diesel 03.06.2008 17:15
Windows-"Start"
 
Hallo!

Ich habe das Problem, dass vieles unter Windows-Start unten in der Taskleiste nicht mehr zu sehen ist, wie z.B. "Ausführen", "Alle Programme", "Systemsteuerung".

Ausserdem werden mir nicht mehr meine drei Festplattenpartitionen angezeigt (C:,D:,E:), sondern nur noch eine (E:). Ich vermute jedoch, dass sie noch existieren, da mein Kaspersky auf der C:installiert ist und trotzdem beim Hochfahren startet.
Unten rechts in der Taskleiste steht "VIRUS ALERT!", was schonmal schlecht ist.

Naja ich habe auch ein HJT-log gemacht welches ich hier vorzeigen kann:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58: VIRUS ALERT!, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {37029E75-F144-4F09-994A-0D897DB219D4} - C:\WINDOWS\boqnrwdmble.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C40624B4-CCDB-4F00-8888-7896032D234A} - C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\redir.dll
O3 - Toolbar: atfxqogp - {EC2B736E-2B50-4709-A63E-F69855335854} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [winupdate.exe] C:\DOKUME~1\Martin\LOKALE~1\Temp\tmp42753.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyGuarder] C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\spyguarder.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.173.193.218/activex/AxisCamControl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: vltdfabw - {D1BFF52D-E332-4CA7-9F33-37CFB833BE31} - C:\WINDOWS\vltdfabw.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6829 bytes
Ich hoffe ihr könnt mir weiterhelfen, weil ich im moment etwas ratlos bin und nicht mehr weiß wie ich dagegen vorgehen soll.

Danke schonmal im voraus!

MfG
Diesel

myrtille 03.06.2008 19:12
Hi, :)

Lade dir bitte Smitfraudfix herunter und arbeite den Schritt unter "Bereinigung" ab.

Poste das Log von Smitfraudfix, sowie ein neues Hijackthislog und ein Log von DSS dann hier.
Anleitung DSS
  • Lade dir DSS
  • Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
  • Führe während DSS arbeitet bitte keine anderen Aktionen durch
  • Am Ende öffnen sich 2 Datein main.txt und extra.txt
  • Poste den Inhalt beider Dateien hier

Schreib bitte auch wie es deinem Rechner dann geht... welche Probleme noch bestehen.
lg myrtille

Diesel 03.06.2008 20:44
Ok, ich habe nun alle drei Logs:
Und sorry wegen dem anderen Thread. ^^ Kommt nicht wieder vor.

1.
Code:
SmitFraudFix v2.323

Scan done at 21:18:25,06, 03.06.2008
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1      localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix



»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\xmpstean.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA VT6105 Rhine III Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

Description: TechniSat DVB-PC TV Star PCI #2 - Paketplaner-Miniport
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A8AAD634-9F0E-4F59-B2B8-D6A1FD8DDA19}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B203D83C-C2A0-41FB-82E7-871FBB396262}: DhcpNameServer=0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A8AAD634-9F0E-4F59-B2B8-D6A1FD8DDA19}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A8AAD634-9F0E-4F59-B2B8-D6A1FD8DDA19}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B203D83C-C2A0-41FB-82E7-871FBB396262}: DhcpNameServer=0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A8AAD634-9F0E-4F59-B2B8-D6A1FD8DDA19}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B203D83C-C2A0-41FB-82E7-871FBB396262}: DhcpNameServer=0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Diesel 03.06.2008 20:47
DSS main + HiJackThis

Das DSS extra ist zu lang hat 31000 Zeichen und passt hier nicht rein. =/
Achja der Rechner kommt mir jetzt "ruhiger" vor, d.h. vorher hat Spyware Doctor andauernd gezeigt, dass irgendein Adware-Agent BN Explorer.exe öffnen will und es kamen Virenwarnungen, was jetzt nicht mehr der Fall ist. Und das "VIRUS ALERT!" ist ebenfalls weg. Mein Arbeitsplatz ist wieder wie er war und das Start-Menü auch.
Also im Großen und Ganzen alles paletti nur traue ich der Ruhe noch nicht ganz. vllt. könnt ihr mir sagen ob noch irgendwo etwas lauert.

Danke schonmal für die Hilfe! :D

EDIT: Es ist aber noch nicht vorbei. Als ich den PC etwas allein gelassen habe krabbelten Käfer über den Bildschirm. :(

Code:
Deckard's System Scanner v20071014.68
Run by *** on 2008-06-03 21:25:53
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
9: 2008-06-03 19:25:57 UTC - RP9 - Deckard's System Scanner Restore Point
8: 2008-06-03 12:45:12 UTC - RP8 - Installed Ad-Aware 2007
7: 2008-06-03 12:44:31 UTC - RP7 - Ad-Aware wird entfernt
6: 2008-06-02 22:23:32 UTC - RP6 - Ad-Aware wird installiert
5: 2008-06-02 22:22:55 UTC - RP5 - Ad-Aware wird entfernt


-- First Restore Point --
1: 2008-06-02 20:23:00 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as ***.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:34, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Spyware Doctor\Spyware Doctor\update.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\dss.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\DOKUME~1\Martin\Desktop\Martin.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {37029E75-F144-4F09-994A-0D897DB219D4} - C:\WINDOWS\boqnrwdmble.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C40624B4-CCDB-4F00-8888-7896032D234A} - C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\redir.dll
O3 - Toolbar: atfxqogp - {EC2B736E-2B50-4709-A63E-F69855335854} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [winupdate.exe] C:\DOKUME~1\Martin\LOKALE~1\Temp\tmp42753.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyGuarder] C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\spyguarder.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.173.193.218/activex/AxisCamControl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: vltdfabw - {D1BFF52D-E332-4CA7-9F33-37CFB833BE31} - C:\WINDOWS\vltdfabw.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Spyware Doctor\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Spyware Doctor\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6134 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 BTHidMgr (Bluetooth HID Manager Service) - c:\windows\system32\drivers\bthidmgr.sys <Not Verified; IVT Corporation; BlueSoleil(c)>
R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - c:\windows\system32\drivers\sfvfs02.sys <Not Verified; Protection Technology; StarForce Protection System>
R2 AegisP (AEGIS Protocol (IEEE 802.1x) v3.0.0.5) - c:\windows\system32\drivers\aegisp.sys <Not Verified; Meetinghouse Data Communications; AEGIS Client 3.0.0.6>
R3 BlueletAudio (Bluetooth Audio Service) - c:\windows\system32\drivers\blueletaudio.sys <Not Verified; IVT Corporation; Windows (R) 2000 DDK driver>
R3 Btcsrusb (Bluetooth USB For Bluetooth Service) - c:\windows\system32\drivers\btcusb.sys <Not Verified; IVT Corporation; Bluetooth USB Device Driver>
R3 BTHidEnum (Bluetooth HID Enumerator) - c:\windows\system32\drivers\vbtenum.sys
R3 SKYNET (TechniSat DVB-PC TV Star PCI) - c:\windows\system32\drivers\skynet.sys <Not Verified; B2C2, Inc.; B2C2 Broadband Receiver PCI Adapter>
R3 VComm (Virtual Serial port driver) - c:\windows\system32\drivers\vcomm.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 VcommMgr (Bluetooth VComm Manager Service) - c:\windows\system32\drivers\vcommmgr.sys <Not Verified; IVT Corporation; BlueSoleil>

S3 BT (Bluetooth PAN Network Adapter) - c:\windows\system32\drivers\btnetdrv.sys <Not Verified; IVT Corporation; BlueSoleil>
S3 CardReaderFilter (Card Reader Filter) - c:\windows\system32\drivers\usbcrft.sys <Not Verified; ICSI Technology Ltd.; USB Card Reader and FlashDisk>
S3 GMSIPCI - g:\install\gmsipci.sys (file missing)
S3 RT2500USB (RT2500 USB Wireless LAN Driver) - c:\windows\system32\drivers\rt2500usb.sys <Not Verified; Ralink Technology Inc.; Ralink 802.11g Wireless USB Adapters>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 BlueSoleil Hid Service - c:\programme\ivt corporation\bluesoleil\btntservice.exe

S3 ServiceLayer - "c:\programme\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>
S3 WLSetupSvc (Windows Live Setup Service) - "c:\programme\windows live\installer\wlsetupsvc.exe" <Not Verified; Microsoft Corporation; Windows Live installer>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E96C-E325-11CE-BFC1-08002BE10318}
Description: Audiogerät auf High Definition Audio-Bus
Device ID: HDAUDIO\FUNC_01&VEN_1002&DEV_AA01&SUBSYS_00AA0100&REV_1000\5&2E02FD58&0&0001
Manufacturer: ATI
Name: Audiogerät auf High Definition Audio-Bus
PNP Device ID: HDAUDIO\FUNC_01&VEN_1002&DEV_AA01&SUBSYS_00AA0100&REV_1000\5&2E02FD58&0&0001
Service:

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: RT2500 USB Wireless LAN Card
Device ID: USB\VID_148F&PID_2570\6&62D87E1&0&1
Manufacturer: Ralink Technology Corp.
Name: RT2500 USB Wireless LAN Card
PNP Device ID: USB\VID_148F&PID_2570\6&62D87E1&0&1
Service: RT2500USB

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description:
Device ID: ACPI\WEC0513\4&40474C7&0
Manufacturer:
Name:
PNP Device ID: ACPI\WEC0513\4&40474C7&0
Service:

Class GUID:
Description:
Device ID: ROOT\NET\0000
Manufacturer:
Name:
PNP Device ID: ROOT\NET\0000
Service:

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Bluetooth PAN Network Adapter
Device ID: ROOT\NET\0001
Manufacturer: IVT Corporation
Name: Bluetooth PAN Network Adapter
PNP Device ID: ROOT\NET\0001
Service: BT


-- Scheduled Tasks -------------------------------------------------------------

2008-05-23 20:04:00      276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-05-03 and 2008-06-03 -----------------------------

2008-06-03 21:18:57      2728 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-03 21:17:02    25600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-03 21:17:02    289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >
2008-06-03 21:17:02    86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>
2008-06-03 21:17:02    288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>
2008-06-03 21:17:02    53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
2008-06-03 21:17:02    82944 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-06-03 21:17:02    51200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-03 21:17:02    82944 --a------ C:\WINDOWS\system32\404Fix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-06-03 15:09:51        0 d-------- C:\WINDOWS\system32\CatRoot2
2008-06-03 00:19:51        0 d-------- C:\Programme\Ad-Aware 2008 Pro v7.1.0.8
2008-06-02 22:19:40    33920 --a------ C:\WINDOWS\system32\ljJYRIBS.dll
2008-06-02 22:19:38    229376 --a------ C:\WINDOWS\vltdfabw.dll
2008-06-02 22:19:38    94208 --a------ C:\WINDOWS\ekaf.exe
2008-06-02 22:19:38    155648 --a------ C:\WINDOWS\atfxqogp.dll
2008-06-02 22:19:33    160256 --a------ C:\WINDOWS\system32\blackster.scr <Not Verified; Peter's Productions; Bugs!>
2008-05-24 23:25:57    96966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-05-24 23:25:57    88774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-05-24 23:25:15        0 d-------- C:\Programme\Kaspersky Lab
2008-05-24 23:25:13    78880 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-24 23:25:13  10608672 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-12 15:07:13        0 d-------- C:\kav
2008-05-11 18:15:45      563 --a------ C:\WINDOWS\eReg.dat


-- Find3M Report ---------------------------------------------------------------

2008-06-03 20:36:38    411614 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-03 20:36:38    72610 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-03 20:02:46        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools
2008-06-03 14:44:46        0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-03 14:40:32        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder
2008-06-03 14:38:14  1699840 --a------ C:\Dokumente und Einstellungen\***\Anwendungsdaten\spyguarder.exe
2008-06-03 14:38:02    31232 --a------ C:\Dokumente und Einstellungen\***\Anwendungsdaten\redir.dll
2008-06-03 14:00:00        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons
2008-06-02 23:27:23        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-06-02 19:30:19        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-05-24 20:11:56        0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-15 17:19:00        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-05-13 00:58:40        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\atitray
2008-04-28 23:04:35        0 d-------- C:\Programme\MSECache
2008-04-28 22:00:18        0 d-------- C:\Programme\Picture It! Premium 10
2008-04-09 19:40:00        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2008-04-09 16:20:07        0 d-------- C:\Programme\Winamp
2008-04-09 16:19:39        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-04-05 00:22:19        0 d-------- C:\Programme\Messenger Plus! Live


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37029E75-F144-4F09-994A-0D897DB219D4}]
                        C:\WINDOWS\boqnrwdmble.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C40624B4-CCDB-4F00-8888-7896032D234A}]
03.06.2008 14:38        31232        --a------        C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\redir.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [17.03.2004 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"Dit"="Dit.exe" [20.07.2004 19:18 C:\WINDOWS\Dit.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 05:25]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [28.09.2006 21:21]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [01.02.2008 00:13]
"winupdate.exe"="C:\DOKUME~1\Martin\LOKALE~1\Temp\tmp42753.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 18:24]
"SpyGuarder"="C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\spyguarder.exe" [03.06.2008 14:38]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 02:01:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vltdfabw"= {D1BFF52D-E332-4CA7-9F33-37CFB833BE31} - C:\WINDOWS\vltdfabw.dll [02.06.2008 18:46 229376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"=  scecli

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
"C:\Programme\Gadu-Gadu\gg.exe" /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F0F48CD9-0437-DFED-6D0C-2D82361AE891}]
C:\DOKUME~1\***\LOKALE~1\Temp\tmp42753.exe



-- End of Deckard's System Scanner: finished at 2008-06-03 21:27:27 ------------

myrtille 03.06.2008 20:52
Hi,

da sind noch einige Sachen zu sehen. Erstelle bitte mit Malwarebytes ein Log. Lass bitte alle Funde von Malwarebytes löschen.

Wie gehts deinem Rechner sonst? Virus Alert ist weg, sind deine Festplatten wieder da?

lg myrtille

Diesel 03.06.2008 21:44
Hi,

ja die Festplatten sind wieder da. Nur wie gesagt vorher kam so eine Art Bildschirmschoner wo Käfer auf dem aktuellen Bildschirm rumkrabbelten, ob das jetzt noch auftritt muss ich abwarten.

Code:
Malwarebytes' Anti-Malware 1.14
Datenbank Version: 818

22:34:38 03.06.2008
mbam-log-6-3-2008 (22-34-38).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 94804
Scan Dauer: 19 minute(s), 15 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 4
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 13

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\vltdfabw.dll (Trojan.FakeAlert) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{0bc117da-b56c-4e47-99cd-f85f6e69b264} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cd0822b5-d085-40b2-a662-04d6ca11e90a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{4e1a8b6a-20f4-4539-99ae-db782a598fe2} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c92113b1-5781-4c5e-982e-76454b598ade} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{92211a4e-3cd2-443e-aa89-9a6a7acb18d5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c40624b4-ccdb-4f00-8888-7896032d234a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c40624b4-ccdb-4f00-8888-7896032d234a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{28f70205-c860-4520-a05b-a9a4b8304d0b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d1bff52d-e332-4ca7-9f33-37cfb833be31} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec2b736e-2b50-4709-a63e-f69855335854} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.bpkx (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SpyGuarder (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vltdfabw (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{ec2b736e-2b50-4709-a63e-f69855335854} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder (Rogue.SpyGuarder) -> Delete on reboot.

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\spyguarder.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\redir.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\ekaf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ctfmonb.bmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJYRIBS.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\base.dat (Rogue.SpyGuarder) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\base2.dat (Rogue.SpyGuarder) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\Desc.dat (Rogue.SpyGuarder) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\spline.dat (Rogue.SpyGuarder) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SpyGuarder\SpyGuarder.ini (Rogue.SpyGuarder) -> Quarantined and deleted successfully.
C:\WINDOWS\vltdfabw.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\atfxqogp.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

myrtille 03.06.2008 21:48
Hi,
das sieht gut aus :)

Erstell bitte zur Übersicht noch ein neues Log mit DSS. Die Käfer sollten mE nicht wieder auftreten.

lg myrtille

Diesel 03.06.2008 22:22
Hi,

ich habe DSS gestartet aber ich wurde nicht mehr gefragt, was ich tun will es kam einfach ein Fenster, wo etwas geladen hat und anschließend erschien ein aktuelles logfile:

Code:
Deckard's System Scanner v20071014.68
Run by *** on 2008-06-03 23:14:09
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as ***.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:14:14, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Spyware Doctor\Spyware Doctor\update.exe
C:\Dokumente und Einstellungen\***\Desktop\dss.exe
C:\DOKUME~1\***\Desktop\***.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {37029E75-F144-4F09-994A-0D897DB219D4} - C:\WINDOWS\boqnrwdmble.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [winupdate.exe] C:\DOKUME~1\***\LOKALE~1\Temp\tmp42753.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.173.193.218/activex/AxisCamControl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Spyware Doctor\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Spyware Doctor\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5887 bytes

-- Files created between 2008-05-03 and 2008-06-03 -----------------------------

2008-06-03 22:13:48        0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-03 21:18:57      2728 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-03 21:17:02    25600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-03 21:17:02    289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >
2008-06-03 21:17:02    86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>
2008-06-03 21:17:02    288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>
2008-06-03 21:17:02    53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
2008-06-03 21:17:02    82944 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-06-03 21:17:02    51200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-03 21:17:02    82944 --a------ C:\WINDOWS\system32\404Fix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-06-03 15:09:51        0 d-------- C:\WINDOWS\system32\CatRoot2
2008-06-03 00:19:51        0 d-------- C:\Programme\Ad-Aware 2008 Pro v7.1.0.8
2008-05-24 23:25:57    96966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-05-24 23:25:57    88774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-05-24 23:25:15        0 d-------- C:\Programme\Kaspersky Lab
2008-05-24 23:25:13    81696 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-24 23:25:13  10644512 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-12 15:07:13        0 d-------- C:\kav
2008-05-11 18:15:45      563 --a------ C:\WINDOWS\eReg.dat


-- Find3M Report ---------------------------------------------------------------

2008-06-03 22:41:18    411614 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-03 22:41:18    72610 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-03 22:13:54        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-06-03 20:02:46        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools
2008-06-03 14:44:46        0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-03 14:00:00        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons
2008-06-02 23:27:23        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-06-02 19:30:19        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-05-24 20:11:56        0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-15 17:19:00        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-05-13 00:58:40        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\atitray
2008-04-28 23:04:35        0 d-------- C:\Programme\MSECache
2008-04-28 22:00:18        0 d-------- C:\Programme\Picture It! Premium 10
2008-04-09 19:40:00        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2008-04-09 16:20:07        0 d-------- C:\Programme\Winamp
2008-04-09 16:19:39        0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-04-05 00:22:19        0 d-------- C:\Programme\Messenger Plus! Live


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37029E75-F144-4F09-994A-0D897DB219D4}]
                        C:\WINDOWS\boqnrwdmble.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [17.03.2004 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"Dit"="Dit.exe" [20.07.2004 19:18 C:\WINDOWS\Dit.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 05:25]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [28.09.2006 21:21]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [01.02.2008 00:13]
"winupdate.exe"="C:\DOKUME~1\***\LOKALE~1\Temp\tmp42753.exe" []
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [28.06.2007 12:51]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 18:24]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 02:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"=  scecli

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders        msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
"C:\Programme\Gadu-Gadu\gg.exe" /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c01c342-8d53-11dc-b586-806d6172696f}]
AutoRun\command- G:\AUTORUN.EXE


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F0F48CD9-0437-DFED-6D0C-2D82361AE891}]
C:\DOKUME~1\***\LOKALE~1\Temp\tmp42753.exe



-- End of Deckard's System Scanner: finished at 2008-06-03 23:15:06 ------------
Naja die Käfer sind alle putt :D und ich habe davor nochmals Malwarebytes laufen lassen, wo es nochmals 2 infizierte Dateien gab.

myrtille 04.06.2008 00:53
Hi,
MBAM hat fast alles entfernt gehabt. Welche 2 Dateien wurden denn im nachhinein noch entfernt?

Lass bitte folgende Dateien mal bei virustotal auswerten und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).
Zitat:
C:\WINDOWS\boqnrwdmble.dll
C:\DOKUME~1\***\LOKALE~1\Temp\tmp42753.exe

lg myrtille

Diesel 04.06.2008 13:13
Hi,

die angegebenen Dateien konnte ich unter den Pfaden nicht finden. Auch als ich mit der Windows-Suche gesucht habe. Bei zweiterer Datei wurde eine Datei in "C:\WINDOWS\Prefetch" gefunden und zwar "TMP-42753.EXE-0A3DEAFA.pf".

Die zwei Dateien die ich gestern noch mit Malware gelöscht habe sehen aus wie folgt:

Code:
Malwarebytes' Anti-Malware 1.14
Datenbank Version: 818

23:11:52 03.06.2008
mbam-log-6-3-2008 (23-11-52).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 94852
Scan Dauer: 24 minute(s), 48 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{564A344F-B09F-414D-B790-001B6B9ED66E}\RP9\A0002608.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{564A344F-B09F-414D-B790-001B6B9ED66E}\RP9\A0002610.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
Als ich dann noch einen Suchlauf mit Spyware Doctor und MalwareBytes gestartet habe wurde nichts mehr gefunden.
Sieht wohl so aus als hätte ich das Gröbste hinter mir.

Dafür wollte ich mich nochmal sehr bedanken! :aplaus:

myrtille 04.06.2008 13:51
Hi,
ich hab schon fast erwartet, dass die Dateien nicht vorhanden sind.
Ein paar Schönheitsmassnahmen noch:
Fixen
  • Hijackthis aufrufen
  • Do a system scan only anklicken
  • Haken vor die zu fixenden Einträge setzen
    Zitat:
    O2 - BHO: QXK Olive - {37029E75-F144-4F09-994A-0D897DB219D4} - C:\WINDOWS\boqnrwdmble.dll (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [winupdate.exe] C:\DOKUME~1\***\LOKALE~1\Temp\tmp42753.exe
  • Unten auf Fix checked klicken

Außerdem würde ich dir empfehlen danach noch deine Systemwiederherstellung zu deaktivieren: (Start->Systemsteuerung->System->Systemwiederherstellung->Systemwiederherstellung auf allen Laufwerken deaktivieren) und fahre deinen Rechner herunter. Beim nächsten Neustart, kannst du die Systemwiederherstellung wieder aktivieren.

Damit sollten die Bösewichte beseitigt sein :)
lg myrtille

Diesel 04.06.2008 15:23
Hi,

ich habe alles befolgt was du gesagt hast und ich verstehe wieso ich das mit der Systemwiederherstellung machen sollte. aber was hat jetzt das Fixen gebracht?

Grüße
Diesel

myrtille 04.06.2008 15:31
Das Fixen löscht Registryeinträge und je nach Eintrag auch die dazugehörige Datei.

In deinem Fall waren die Dateien nicht mehr vorhanden, es geht also zum einen darum einen überflüssigen Eintrag aus der Registry zu entfernen und zum anderen geht es darum, dir einen Virenalarm in 2-3 Wochen zu ersparen, wenn ein Antivirenprogramm den Registryeintrag als böse erkennt, ohne zu wissen, dass die Infektion schon längst entfernt wurde.

Daher meinte ich, es sei "Kosmetik". :)
War das verständlich? :)

lg myrtille

Diesel 04.06.2008 15:45
Ah, ja sicher :D habe verstanden.

Naja jetzt funzt wieder alles wie es soll :aplaus: nur mein Kaspersky meint, dass "C:\WINDOWS\system32\services.exe" "potentiell gefährliche Software Invader" sei. Stimmt das oder ist das ein Fehlalarm oder ein "Trümmerstück" der zerstörten Viren? Bei virustotal kam sowas raus:

Code:
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.5.30.1        2008.06.02        -
AntiVir        7.8.0.26        2008.06.02        -
Authentium        5.1.0.4        2008.06.01        -
Avast        4.8.1195.0        2008.06.02        -
AVG        7.5.0.516        2008.06.02        -
BitDefender        7.2        2008.06.02        -
CAT-QuickHeal        9.50        2008.06.02        -
ClamAV        0.92.1        2008.06.02        -
DrWeb        4.44.0.09170        2008.06.02        -
eSafe        7.0.15.0        2008.06.02        -
eTrust-Vet        31.4.5842        2008.06.02        -
Ewido        4.0        2008.06.02        -
F-Prot        4.4.4.56        2008.06.01        -
F-Secure        6.70.13260.0        2008.06.02        -
Fortinet        3.14.0.0        2008.06.02        -
GData        2.0.7306.1023        2008.06.02        -
Ikarus        T3.1.1.26.0        2008.06.02        -
Kaspersky        7.0.0.125        2008.06.02        -
McAfee        5307        2008.05.30        -
Microsoft        1.3520        2008.06.02        -
NOD32v2        3152        2008.06.02        -
Norman        5.80.02        2008.06.02        -
Panda        9.0.0.4        2008.06.02        -
Prevx1        V2        2008.06.02        -
Rising        20.47.02.00        2008.06.02        -
Sophos        4.29.0        2008.06.02        -
Sunbelt        3.0.1139.1        2008.05.29        -
Symantec        10        2008.06.02        -
TheHacker        6.2.92.331        2008.06.02        -
VBA32        3.12.6.6        2008.06.01        -
VirusBuster        4.3.26:9        2008.06.02        -
Webwasher-Gateway        6.6.2        2008.06.02        -
weitere Informationen
File size: 108544 bytes
MD5...: edb6b81761bd60f32f740bbc40afb676
SHA1..: 91289092113e122893e9914bb0c8f112b4db99a6
SHA256: 476a78e456e515bbf8232994d69de68ad33c22491d89547fb0d94ccf42f4bc96
SHA512: f615810239603a91d9cc3571bcf5bfff274e34b55c643507589c0e1c6ac61e12
8587bb0f0a7a9b1bd2f5a412b38d044d2eeff3c53be26a5edb9ca663cf6b0660
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100b5cc
timedatestamp.....: 0x41107eb3 (Wed Aug 04 06:14:11 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18f55 0x19000 6.27 f49ff28db82f9b8545254f443bc9a02e
.data 0x1a000 0xa14 0xa00 2.05 fd6fc84823efda2858a97fe8e6dd8f76
.rsrc 0x1b000 0x850 0xa00 3.85 43cb6f34eccba1caef0b0f688a1f7244

( 10 imports )
> msvcrt.dll: wcsrchr, time, _except_handler3, memmove, wcschr, _c_exit, _exit, _XcptFilter, _cexit, _wcsicmp, exit, __initenv, __getmainargs, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, wcslen, wcsncmp, _wtol, wcscpy, _itow, _wcsnicmp, wcscat, _initterm, wcsncpy, wcscspn, _ultow
> ADVAPI32.dll: RegOpenKeyW, ConvertSidToStringSidW, LogonUserExW, LsaStorePrivateData, LsaLookupNames, LsaQueryInformationPolicy, OpenThreadToken, RegNotifyChangeKeyValue, InitializeSecurityDescriptor, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, SystemFunction029, SystemFunction005, CheckTokenMembership, FreeSid, AllocateAndInitializeSid, SetSecurityDescriptorOwner, GetSecurityDescriptorDacl, GetLengthSid, CopySid, InitializeAcl, AddAce, SetSecurityDescriptorDacl, LsaOpenPolicy, LsaLookupSids, LsaFreeMemory, LsaClose, ImpersonateLoggedOnUser, CreateProcessAsUserW, GetTokenInformation, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, InitiateSystemShutdownW, RevertToSelf
> KERNEL32.dll: TerminateProcess, SetProcessShutdownParameters, lstrcmpiW, FormatMessageW, ExitThread, ReleaseMutex, DelayLoadFailureHook, RaiseException, GetExitCodeThread, SetErrorMode, SetUnhandledExceptionFilter, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcess, UnhandledExceptionFilter, GetModuleHandleA, CreateMutexW, LocalAlloc, LocalFree, Sleep, LeaveCriticalSection, EnterCriticalSection, SetLastError, CloseHandle, CreateThread, GetLastError, CreateProcessW, ExpandEnvironmentStringsW, InitializeCriticalSection, HeapAlloc, HeapFree, SetConsoleCtrlHandler, WaitForSingleObject, HeapCreate, FreeLibrary, GetProcAddress, GetModuleHandleExW, InterlockedCompareExchange, CreateNamedPipeW, ReadFile, CancelIo, GetOverlappedResult, WaitForMultipleObjects, ConnectNamedPipe, TransactNamedPipe, WriteFile, GetTickCount, GetSystemTimeAsFileTime, GetModuleHandleW, GetComputerNameW, CreateEventW, SetEvent, ResetEvent, DeviceIoControl, CreateFileW, ResumeThread, GetCurrentProcessId, LoadLibraryW, GetDriveTypeW, OpenEventW, GetCurrentThread
> USER32.dll: wsprintfW, BroadcastSystemMessageW, MessageBoxW, LoadStringW, RegisterServicesProcess
> RPCRT4.dll: RpcServerRegisterAuthInfoW, RpcBindingFree, RpcEpResolveBinding, RpcBindingFromStringBindingW, RpcStringBindingComposeW, NdrClientCall2, RpcAsyncCompleteCall, RpcAsyncInitializeHandle, NdrAsyncServerCall, NdrAsyncClientCall, RpcMgmtStopServerListening, RpcMgmtWaitServerListen, NdrServerCall2, I_RpcBindingIsClientLocal, RpcRevertToSelf, I_RpcMapWin32Status, RpcImpersonateClient, RpcStringBindingParseW, RpcStringFreeW, RpcBindingToStringBindingW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerRegisterIf, RpcServerListen, RpcServerUnregisterIf
> ntdll.dll: RtlCreateAcl, NtCreateKey, NtQueryValueKey, NtSetValueKey, NtDeleteValueKey, NtEnumerateKey, NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, NtDeleteKey, RtlSetControlSecurityDescriptor, RtlValidSecurityDescriptor, RtlLengthSecurityDescriptor, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtAccessCheckAndAuditAlarm, NtSetInformationThread, NtAdjustPrivilegesToken, NtDuplicateToken, NtOpenProcessToken, NtQueryInformationToken, RtlQuerySecurityObject, RtlAddAccessAllowedAce, RtlValidRelativeSecurityDescriptor, RtlMapGenericMask, RtlCopyUnicodeString, NtSetInformationFile, NtQueryInformationFile, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtWaitForSingleObject, NtQueryDirectoryFile, NtDeleteFile, NtSetInformationProcess, RtlUnhandledExceptionFilter, NtSetEvent, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlAllocateHeap, RtlCreateSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlConvertSharedToExclusive, RtlConvertExclusiveToShared, RtlRegisterWait, RtlGetNtProductType, RtlEqualUnicodeString, RtlLengthSid, RtlCopySid, RtlUnicodeStringToAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlNewSecurityObject, RtlAddAce, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlSubAuthorityCountSid, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlCompareUnicodeString, NtLoadDriver, NtUnloadDriver, RtlExpandEnvironmentStrings_U, RtlAdjustPrivilege, NtFlushKey, NtOpenFile, RtlDosPathNameToNtPathName_U, NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject, RtlFreeUnicodeString, RtlAreAllAccessesGranted, NtDeleteObjectAuditAlarm, NtCloseObjectAuditAlarm, RtlQueueWorkItem, RtlCopyLuid, RtlDeregisterWait, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, RtlInitializeResource, RtlDeleteSecurityObject, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlUnlockBootStatusData, NtInitializeRegistry, NtQueryKey, NtClose, RtlInitUnicodeString, NtSetSystemEnvironmentValue, RtlNtStatusToDosError, NtShutdownSystem, RtlSetSecurityObject, RtlMakeSelfRelativeSD, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtSetSecurityObject
> USERENV.dll: UnloadUserProfile, CreateEnvironmentBlock, LoadUserProfileW, DestroyEnvironmentBlock
> SCESRV.dll: ScesrvInitializeServer, ScesrvTerminateServer
> umpnpmgr.dll: RegisterScmCallback, PNP_SetActiveService, PNP_GetDeviceRegProp, PNP_GetDeviceListSize, PNP_GetDeviceList, PNP_HwProfFlags, RegisterServiceNotification, DeleteServicePlugPlayRegKeys
> NCObjAPI.DLL: WmiSetAndCommitObject, WmiEventSourceConnect, WmiCreateObjectWithFormat

( 0 exports )

myrtille 04.06.2008 16:18
Hi,
Die Datei scheint eine legitime Variante der services.exe von Windows zu sein. Sie wird auch beim Scan von Virustotal nicht von Kaspersky erkannt...

Ich würde vermuten, dass die Erkennung in den nächsten Tagen wieder verschwindet, sprich ein Fehlalarm ist. :)

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:59 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19