Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan:Win32/Vundo.gen!P (https://www.trojaner-board.de/58351-trojan-win32-vundo-gen-p.html)

Leceron 22.08.2008 12:42
Trojan:Win32/Vundo.gen!P
 
Hallo,

Ich habe mir kürzlich einen Virus eingefangen, windows denfender hat auch gleich angeschlagen und ich habe ihn unter qaurantäne gestellt.

ich bekam folgende fehlermeldung:
Kategorie:
Trojaner

Beschreibung:
Dieses Programm zeigt Werbefenster an und kann möglicherweise nur schwer entfernt werden.

Empfehlung:
Entfernen Sie diese Software unverzüglich.

Ressourcen:
file:
C:\Users\***\AppData\Local\Temp\aeblgowi.dll->(UPX)

containerfile:
C:\Users\***\AppData\Local\Temp\aeblgowi.dll


nun ist die frage besteht weiterhin ein gefahr für mich durch den virus , oder ist er gefahrlos gebannt?

leider besitze ich nicht so große ahnung was das thema betrifft, habe aber gehört man könnte irgendwie eine logdatei estellen und diese hier reinsetzen zur analyse. wenn mir da eventuell jemand erklären könnte wie das funktioniert und was ich dafür machen müsste , könnte ich auch das hier bereit stellen zur analyse.

ich danke schonmal für die hilfe

mfg

Sunny 22.08.2008 12:48
Hallo Leceron und

http://www.mysmilie.de/generator/ablage/156/257.png



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Interspieder 22.08.2008 12:49
ich hatte vor kurzem auch einen Virus der sich ins Temp eingenistet hat. Versuch mal die Internetverläufe zu löschen.
Bei IE 7: Extras->Internetoptionen->Browserverlauf;löschen->alle löschen
Danach lass mal deinen AV rüberlaufen und guck mal ob er noch was findet.

Leceron 22.08.2008 14:35
so den ersten scan habe ich bereits fertig, hier das ergebnis:

Zitat:
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1076
Windows 6.0.6000

15:16:11 22.08.2008
mbam-log-08-22-2008 (15-16-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 175784
Laufzeit: 59 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 35

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Installer\UpgradeCodes\2dda3201767c34b46a72671d26d39178 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\2dda3201767c34b46a72671d26d39178 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\antispywarebotsrv (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\antispywarebotsrv (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\antispywarebotsrv (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\c:\program files\antispywarebot\ (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\c:\programdata\microsoft\windows\start menu\programs\antispywarebot\ (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcae5j0e79j (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\David\AppData\Roaming\AntispywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Roaming\AntispywareBot\Log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AntiSpywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Program Files\GALA-NET\Rappelz_USA\Launcher.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\David\Launcher.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\oitxyrfl.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\nfdxckeh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\nlcpkqlo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\nseblslj.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\nwlnuacr.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\yqmrwfly.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\sngmfeae.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\jkkHXNeF.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\lxhiimle.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\cfyxltag.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\cwtwggqc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\tmp0000cc05 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\tmp0001191b (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\unvhubhm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\Temp\qxcokoxd.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\VirtualStore\Program Files\GALA-NET\Rappelz_USA\Launcher.exe.new (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Local\VirtualStore\Program Files\gPotato.eu\Rappelz\Launcher.exe.new (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Roaming\AntispywareBot\Log\2008 Aug 20 - 10_08_41 PM_862.log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Roaming\AntispywareBot\Log\2008 Aug 20 - 10_09_21 PM_467.log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Roaming\AntispywareBot\Log\2008 Aug 20 - 10_09_35 PM_406.log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Roaming\AntispywareBot\Log\2008 Aug 20 - 10_13_26 PM_363.log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Users\David\AppData\Roaming\AntispywareBot\Log\2008 Aug 20 - 10_14_14 PM_477.log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot\AntispywareBot.exe (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot\AntispywareBot.srv.exe (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot\AntispywareBot.url (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot\DataBase.ref (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot\SpyCleaner.dll (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot\TCL.dll (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot\vistaCPtasks.xml (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareBot\zlib.dll (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AntiSpywareBot\AntispywareBot on the Web.lnk (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AntiSpywareBot\AntispywareBot.lnk (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Users\Public\Desktop\AntispywareBot.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
zum zweiten mit combofix , also ich habe gelesen das man das wenn man vista hat , mit der recovery cd machen muss. und da kommt dann schon mein nächstes problem, und zwar will mein pc seit einer weile keinen treiber mehr für mein cd/dvd rw erkennen. kann man das auch irgendwie anders machen eventuell ?

danke schonmal für die hilfen , werde jetzt den ccleaner starten

Sunny 22.08.2008 14:38
Zitat:
Zitat von Leceron (Beitrag 365028)
zum zweiten mit combofix , also ich habe gelesen das man das wenn man vista hat , mit der recovery cd machen muss. und da kommt dann schon mein nächstes problem, und zwar will mein pc seit einer weile keinen treiber mehr für mein cd/dvd rw erkennen. kann man das auch irgendwie anders machen eventuell ?
Unter Vista/XP/2000/Win98 wirst du keine Treiber brauchen, die Treiber werden eigentlich automatisch installiert! ;)
Ich gehe hier von einem Hardwaredefekt oder aber ein falsch angeschlossenes CD-Laufwerk aus.

Du musst die Recovery-CD aber nicht zwangsweise erstellen, es geht auch ohne.

Sunny

Leceron 22.08.2008 15:28
so und hier schon der bericht von Combofix

hoffe es gibt gute neuigkeiten:)

Zitat:
ComboFix 08-08-21.02 - David 2008-08-22 16:10:53.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.2047 [GMT 2:00]
ausgeführt von:: C:\Users\David\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\x64

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-22 bis 2008-08-22 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-22 14:01 --------- d-----w C:\Users\David\AppData\Roaming\Xfire
2008-08-22 13:57 --------- d-----w C:\Users\David\AppData\Roaming\Skype
2008-08-22 13:45 --------- d-----w C:\Program Files\CCleaner
2008-08-22 12:06 --------- d-----w C:\Users\David\AppData\Roaming\Malwarebytes
2008-08-22 12:06 --------- d-----w C:\ProgramData\Malwarebytes
2008-08-22 12:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-08-22 09:42 --------- d-----w C:\Users\David\AppData\Roaming\skypePM
2008-08-21 14:47 --------- d-----w C:\ProgramData\Google Updater
2008-08-20 21:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-20 21:18 --------- d-----w C:\ProgramData\PC Drivers Headquarters
2008-08-20 21:15 --------- d-----w C:\Program Files\PC Drivers HeadQuarters
2008-08-20 19:24 --------- d-----w C:\Program Files\Winamp Remote
2008-08-17 13:01 38,472 ----a-w C:\Windows\system32\drivers\mbamswissarmy.sys
2008-08-17 13:01 17,144 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-08-14 16:52 --------- d-----w C:\Users\David\AppData\Roaming\teamspeak2
2008-08-14 05:22 --------- d-----w C:\Program Files\Windows Mail
2008-08-14 01:05 --------- d-----w C:\ProgramData\Microsoft Help
2008-08-13 17:33 --------- d-----w C:\ProgramData\OrbNetworks
2008-08-08 21:32 678 ----a-w C:\Users\David\AppData\Roaming\wklnhst.dat
2008-07-28 06:07 --------- d-----w C:\Program Files\Teamspeak2_RC2
2008-07-28 04:34 --------- d-----w C:\Users\David\AppData\Roaming\Template
2008-07-22 16:33 0 ---ha-w C:\Windows\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-07-22 16:33 --------- d-----w C:\Users\David\AppData\Roaming\PC Suite
2008-07-22 16:33 --------- d-----w C:\Users\David\AppData\Roaming\Nokia
2008-07-22 16:33 --------- d-----w C:\ProgramData\PC Suite
2008-07-22 16:25 --------- d-----w C:\Program Files\Nokia
2008-07-22 16:25 --------- d-----w C:\Program Files\DIFX
2008-07-22 16:25 --------- d-----w C:\Program Files\Common Files\PCSuite
2008-07-22 16:25 --------- d-----w C:\Program Files\Common Files\Nokia
2008-07-22 16:23 --------- d-----w C:\Program Files\PC Connectivity Solution
2008-07-22 16:19 --------- d-----w C:\ProgramData\Installations
2008-07-22 09:09 --------- d-----w C:\Program Files\Common Files\Adobe
2008-07-21 20:35 56 ---ha-w C:\Users\All Users\ezsidmv.dat
2008-07-21 20:35 56 ---ha-w C:\ProgramData\ezsidmv.dat
2008-07-21 20:30 --------- d-----w C:\ProgramData\Skype
2008-07-21 20:30 --------- d-----w C:\Program Files\Skype
2008-07-21 20:30 --------- d-----w C:\Program Files\Common Files\Skype
2008-07-16 11:25 --------- d-----w C:\ProgramData\Xfire
2008-07-15 23:48 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-07-15 19:58 --------- d-----w C:\Program Files\Soulseek
2008-07-15 19:04 --------- d-----w C:\ProgramData\Soulseek
2008-07-15 17:52 --------- d-----w C:\Users\David\AppData\Roaming\Lindersoft
2008-07-15 17:52 --------- d-----w C:\Program Files\Lindersoft
2008-07-10 01:43 174 --sha-w C:\Program Files\desktop.ini
2008-07-08 10:22 --------- d-----w C:\Users\David\AppData\Roaming\Talkback
2008-07-08 10:21 --------- d-----w C:\Program Files\Google
2008-07-07 18:13 --------- d-----w C:\Program Files\Common Files\INCA Shared
2008-07-07 17:58 --------- d-----w C:\Program Files\Xfire
2008-07-06 09:53 --------- d-----w C:\Users\David\AppData\Roaming\FrostWire
2008-06-27 03:54 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-06-27 03:54 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-06-27 03:54 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-06-27 03:54 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-06-26 16:00 --------- d-----w C:\Users\David\AppData\Roaming\VoipCheapCom
2008-06-26 15:59 --------- d-----w C:\Program Files\VoipCheapCom
2008-06-26 00:34 7,964,672 ----a-w C:\Windows\System32\NlsLexicons0024.dll
2008-06-26 00:33 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll
2008-06-19 03:25 61,440 ----a-w C:\Windows\System32\winipsec.dll
2008-06-19 03:25 361,984 ----a-w C:\Windows\System32\IPSECSVC.DLL
2008-06-19 03:25 28,672 ----a-w C:\Windows\System32\FwRemoteSvr.dll
2008-06-19 03:25 272,896 ----a-w C:\Windows\System32\polstore.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-04-14 10:31 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"Center Agent"="C:\Program Files\X-TENSIONS Multimedia\HyperMediaCenter\DTVR\Scheduled.exe" [2007-07-13 09:00 1435648]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"ICQ"="C:\Program Files\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 15:30 249856]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2006-09-11 05:40 86960]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-08-13 18:06 3660848]
"VoipCheapCom"="C:\Program Files\VoipCheapCom\VoipCheapCom.exe" [2007-02-20 14:23 7202360]
"AdobeUpdater"="C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [2007-02-28 23:06 2321600]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 16:00 1249280]
"PC Suite Tray"="C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-06-18 14:31 1122816]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 14:34 2159104 C:\Windows\System32\oobefldr.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCUTRAYICON"="FactoryMode" [X]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 13:00 174872]
"PCMMediaSharing"="C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe" [2007-06-21 18:33 204908]
"Acer Empowering Technology Monitor"="C:\Acer\Empowering Technology\SysMonitor.exe" [2007-06-15 16:48 326440]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 16:33 457216]
"NMSSupport"="C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe" [2007-04-06 15:07 439768]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-07-06 22:15 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-07-06 22:15 8466432]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-07-06 22:15 81920]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 22:48 57344]
"AVKTray"="C:\Program Files\G DATA AntiVirus\AVKTray\AVKTray.exe" [2007-12-04 15:34 603720]
"AVMWlanClient"="C:\Program Files\avmwlanstick\wlangui.exe" [2006-12-28 01:02 1454080]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"PAC7311_Monitor"="C:\Windows\PixArt\PAC7311\Monitor.exe" [2006-11-03 11:01 319488]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-20 10:56 4493312 C:\Windows\RtHDVCpl.exe]

C:\Users\David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Xfire.lnk - C:\Program Files\Xfire\xfire.exe [2008-01-11 02:30:34 2872144]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-07-18 22:37:26 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\ACERAR~1\ACERSL~1\Kernel\Burner\MKDMP3Enc.ACM
"msacm.divxa32"= msaud32_divx.acm
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{45944419-2990-4BD3-AC71-61FA25BFAEAD}"= C:\Program Files\Acer Arcade Live\Acer Arcade Live Main Page\Acer Arcade Live.exe:Acer Arcade Live
"{59376A2E-DA4A-40D8-878D-DB894A3293B5}"= C:\Program Files\Acer Arcade Live\Acer DVDivine\Acer DVDivine.exe:Acer DVDivine
"{550AE63C-E081-4AB5-B269-6F5D49383E69}"= C:\Program Files\Acer Arcade Live\Acer HomeMedia\Acer HomeMedia.exe:Acer HomeMedia
"{04D94D6B-9CAD-44D7-B499-B94F346C7626}"= C:\Program Files\Acer Arcade Live\Acer VideoMagician\Acer VideoMagician.exe:Acer VideoMagician
"{3C146694-82A4-4BCF-BFD8-BBE913F1DFAA}"= C:\Program Files\Acer Arcade Live\Acer DV Magician\Acer DV Magician.exe:Acer DV Magician
"{092CF021-F6C4-412A-992A-ABDFF11E1340}"= C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Acer HomeMedia Connect.exe:Acer HomeMedia Connect
"{2D7F02ED-5147-4FEF-AAD6-2CD378CC13CE}"= C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.EXE:Acer HomeMedia Connect Service
"{82742886-7B9C-4263-8767-AB7CF5EB5077}"= C:\Program Files\Acer Arcade Live\Acer SlideShow DVD\Acer SlideShow DVD.exe:Acer SlideShow DVD
"{3692AA74-EFED-4653-B135-6285BC03378D}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{623FEDE4-7B54-484C-981C-A877F85FD1CF}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{CC11D24C-F50C-4CD1-9B72-5D650F7F2766}"= UDP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{589ECBB3-A1AF-4F41-937B-513F8BABF4E3}"= TCP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{C4ED85B9-5165-4D36-92C8-F11445532653}"= UDP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{C05221EC-9CCE-4DD1-B183-AE7407009E69}"= TCP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{9E8963A2-6EC2-4C6E-9903-05FD381AD18A}"= UDP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{B3C361CF-AD1E-42EB-B7D0-B9B4B91F5B68}"= TCP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{38A715FC-65E3-4663-BB5B-B4E65CDC401A}"= TCP:Profile=Private|Profile=Public|9442:127.0.0.1:Intel(R) Viiv(TM) Media Server Discovery
"{FB48DCEB-0F9E-4C9B-AD5C-146EB0F8027E}"= TCP:Profile=Private|Profile=Public|1900:LocalSubnet:LocalSubnet:Intel(R) Viiv(TM) Media Server UPnP Discovery
"{803AEA81-2B7E-4153-AC71-E56E00F11240}"= UDP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{4D1CF5B5-4AF2-4158-82C6-A24A7CC7FDC3}"= TCP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{6AE1B10D-5C56-4F6D-B627-AA291159E51B}"= UDP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{6EC28054-62EE-4628-A992-989B9FF53D54}"= TCP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{251AF67D-C255-4016-BFA5-E1D83451B7A6}"= UDP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{C6CE698A-A91B-4ED0-B254-931A7EE1CF7A}"= TCP:Profile=Private|Profile=Public:LocalSubnet:LocalSubnet|C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{1075FB2F-13FE-4765-8B6A-A92BFE10A782}"= TCP:Profile=Private|Profile=Public|9442:127.0.0.1:Intel(R) Viiv(TM) Media Server Discovery
"{89101234-7107-4A6F-B114-F205A751051F}"= TCP:Profile=Private|Profile=Public|1900:LocalSubnet:LocalSubnet:Intel(R) Viiv(TM) Media Server UPnP Discovery
"{7A71AF1B-247E-4005-A347-3255C42B1D96}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{36186C09-C048-4F30-8EDD-3EC89B95E431}"= UDP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{008E51DC-9F7E-4CC5-AEC9-5CF1B09AFA4C}"= TCP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{8B90ED15-DFE7-4633-B225-C7C519FA64BC}"= UDP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{F4F67FEE-126D-48CD-AE19-B1B937CC7B6B}"= TCP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{AFABFB8D-1C57-467C-A275-13CC6F0F4556}"= UDP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{E5EDA9AE-EF79-40F0-BCE8-56F1C42120BA}"= TCP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{8FEF0033-2BAC-4617-BF2A-2D32201AA3AD}"= UDP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{4ED2E1C1-E982-488F-83E0-C8AB534648DE}"= TCP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{E82BB0CC-6BE5-4A9F-84B4-404557F03EE2}"= UDP:C:\Program Files\FrostWire\FrostWire.exe:LimeWire
"{684FDD8E-6988-4170-AC41-DC11BCC1A7DE}"= TCP:C:\Program Files\FrostWire\FrostWire.exe:LimeWire
"{4CF88563-8FCC-43E2-94D3-D14FD9B75D1D}"= UDP:C:\Program Files\VoipCheapCom\VoipCheapCom.exe:VoipCheapCom
"{1DF706F1-25CE-4CFD-BBC3-7A56DA27F684}"= TCP:C:\Program Files\VoipCheapCom\VoipCheapCom.exe:VoipCheapCom
"{2A78B6D3-593E-4550-8B29-19C41936D8A7}"= C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 gdwfpcd;G DATA WFP CD;C:\Windows\system32\DRIVERS\gdwfpcd32.sys [2007-10-04 03:15]
R2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [2007-06-21 18:33]
R2 AVKProxy;G DATA AntiVirus Proxy;C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe [2007-12-04 05:23]
R2 AVKService;G DATA Scheduler;C:\Program Files\G DATA AntiVirus\AVK\AVKService.exe [2007-12-04 05:25]
R2 AVKWCtl;AntiVirus Wächter;C:\Program Files\G DATA AntiVirus\AVK\AVKWCtl.exe [2007-12-04 12:47]
R2 DQLWinService;DQLWinService;C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [2007-02-12 11:46]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\Windows\system32\drivers\GDTdiIcpt.sys [2008-01-12 20:43]
R2 nmsunidr;UniDriver for NMS;C:\Windows\system32\DRIVERS\nmsunidr.sys [2007-02-18 21:34]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\Windows\system32\DRIVERS\fwlanusb.sys [2007-01-26 01:00]
R3 GDMnIcpt;GDMnIcpt;C:\Windows\system32\drivers\MiniIcpt.sys [2008-01-12 20:43]
R3 HookCentre;HookCentre;C:\Windows\system32\drivers\HookCentre.sys [2008-01-12 20:43]
R3 IntelDH;IntelDH Driver;C:\Windows\system32\Drivers\IntelDH.sys [2008-01-02 02:28]
S3 avmeject;AVM Eject;C:\Windows\system32\drivers\avmeject.sys [2006-12-28 01:02]
S3 DHTRACE;Intel(R) DHTrace Controller;C:\Program Files\Common Files\Intel\IntelDH\bin\DHTraceController.exe [2007-04-06 15:08]
S3 IntelDHSvcConf;IntelDHSvcConf;C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe [2007-04-06 15:08]
S3 NMSCore;Intel(R) NMSCore;C:\Program Files\Common Files\Intel\IntelDH\NMS\NMSCore\NMSCore.exe [2007-04-06 15:07]
S3 PAC7311;PLEOMAX PWC-2000;C:\Windows\system32\DRIVERS\PA707UCM.SYS [2007-03-14 10:57]
S3 QualityManager;Intel(R) Quality Manager;C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\qualitymanager.exe [2007-04-06 15:10]
S3 USB28xxBGA;USB 2870 Device;C:\Windows\system32\DRIVERS\emBDA.sys [2007-10-19 10:37]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\Windows\system32\DRIVERS\emOEM.sys [2007-10-19 10:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af482061-b975-11dc-8507-806e6f6e6963}]
\shell\AutoRun\command - E:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c289e4ba-c1b8-11dc-a5bc-001e900e099b}]
\shell\AutoRun\command - K:\pushinst.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\Windows\Tasks\User_Feed_Synchronization-{4D150FC6-2F50-49D8-B325-8FB37045B046}.job
- C:\Windows\system32\msfeedssync.exe [2006-11-02 11:45]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Acer Tour - (no file)
HKLM-Run-eRecoveryService - (no file)
HKU-Default-Run-Acer Tour Reminder - C:\Acer\AcerTour\Reminder.exe


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\8o7pcvoy.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 16:13:11
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-22 16:15:07
ComboFix-quarantined-files.txt 2008-08-22 14:14:26

Pre-Run: Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Post-Run: 20 Verzeichnis(se), 157,710,991,360 Bytes frei

231 --- E O F --- 2008-08-20 06:10:48

Interspieder 23.08.2008 10:36
Hast du mal meinen Rat befolgt :heilig:?

Leceron 23.08.2008 10:36
huhu

ich wollte nochmal fragen was denn nun aus den logs herauszulesen ist
? habe leider seit gestern keine antwort mehr bekommen , vielleicht wurde der thread ja auch einfach übersehn , also push ich ihn mal hoch :)

Sunny 23.08.2008 10:59
Ich kann nichts mehr erkennen, gibt es deinerseits noch Probleme mit dem Computer, also irgendwelche Auffälligkeiten?

Leceron 23.08.2008 11:07
nein also derzeit kann ich mich nicht beklagen er läuft schnell, flüssig und ohne jegliche fehlermeldung

Leceron 23.08.2008 11:14
Zitat:
Zitat von Interspieder (Beitrag 365339)
Hast du mal meinen Rat befolgt :heilig:?
japp durch das starten von ccleaner wurden alle temporary files mit entfernt :)




und nochmals ein großes dankeschön an Sunny für die schnelle und effektive hilfe :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:27 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130