Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dldr.Agent.aqfw (https://www.trojaner-board.de/65615-tr-dldr-agent-aqfw.html)

Saurva 01.12.2008 23:50
TR/Dldr.Agent.aqfw
 
Hallo liebe Forumsnutzer,
hatte in den letzten 2 Tagen damit zu kämpfne, dass sich mein Soundkartentreiber regelmäßig deinstallierte.
Die Prüfung mit Antivir zeigte, dass mein Rechner mit dem Trojaner TR/Dldr.Agent.aqfw befallen war. Diese und eine Datei Namens kinbl.dll ließ ich in den Quarantäne-Ordner verschieben, dann löschte ich sie.
Anschließend ließ ich noch e-Scan laufen, das log sieht wie folgt aus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 10.0.36
Sprache: German
C:\DOKUME~1\MXXX~1\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with personalantispy Corrupted Adware/Spyware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/kernelfaultcheck)! Action taken: Keine Maßnahme ergriffen.
System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\core\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500aae-91e2-11dd-b8d4-0019b97af136} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500ab0-91e2-11dd-b8d4-0019b97af136} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd92fe10-0f8f-11dd-b7ba-0019b97af136} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
EvtEng.exe - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
S24EvMon.exe - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
WLKEEPER.exe - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
svchost.exe -
svchost.exe -
spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe
scardsvr.exe -
avguard.exe - "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"
explorer.exe - C:\WINDOWS\Explorer.EXE
Apoint.exe - "C:\Programme\Apoint\Apoint.exe"
rundll32.exe - "C:\WINDOWS\system32\rundll32.exe" nvHotkey.dll,Start
rundll32.exe - "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
ZCfgSvc.exe - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
iFrmewrk.exe - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
hidfind.exe - "C:\Programme\Apoint\HidFind.exe"
ApntEx.exe - "Apntex.exe"
jusched.exe - "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
quickset.exe - "C:\Programme\Dell\QuickSet\Quickset.exe"
stsystra.exe - "C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe"
avgnt.exe - "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
sched.exe - "C:\Programme\AntiVir PersonalEdition Classic\sched.exe"
iTunesHelper.exe - "D:\Programme\iTunes\iTunesHelper.exe"
ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe"
AppleMobileDeviceService.exe - "C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
mDNSResponder.exe - C:\Programme\Bonjour\mDNSResponder.exe
TeaTimer.exe - "D:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
cvpnd.exe - "D:\Programme\VPN Client\cvpnd.exe"
NicConfigSvc.exe - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
nvsvc32.exe - C:\WINDOWS\system32\nvsvc32.exe
RegSrvc.exe - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
svchost.exe - C:\WINDOWS\System32\svchost.exe -k imgsvc
wdfmgr.exe -
alg.exe -
iPodService.exe - C:\Programme\iPod\bin\iPodService.exe
Dot1XCfg.exe - "C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe" -Embedding
firefox.exe - "D:\Programme\Mozilla Firefox\firefox.exe"
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Maha Deva\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Profos. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIM. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIMMP. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Trufos. Action Taken: No Action Taken.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.0.2.20\iTunes.msi
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Mozilla\Firefox\Profiles\erfmscaf.default\places.sqlite-journal
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Famiglia
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Job
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Sent
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Trash
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Temp\etilqs_KQidn2UBP9TF1nmJPSbI
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004539.exe
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004541.exe
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004961.msi
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004962.exe
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR(3)!!! ScanFile fails for E:\Workshop Bochum Juli\Artikel um Workshop\Indications for Intentional Deposition of Pottery in Chaleh Ghar Mine 1.docx
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 279447
Zahl der kritischen Objekte: 10
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 101
Zeit verstrichen: 00:23:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Die Überprüfung der Ordner: Deaktiviert

Batchstart: 23:25:52,43
Batchende: 23:25:57,59

Meine nächsten Aktionen wäre das Deinstallieren und Löschen der infizierten Treiber auf C: und E:
Habt ihr noch weitere Tipps, was ich machen sollte?
Könnte das Sicherheitsupdate "GDIPLUS.DLL" für .NET Framework 1.1
sinvoll sein?

Vielen Dank und viele Grüße,

Saurva

Saurva 02.12.2008 00:16
HijackThis spuckt folgendes aus:
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:36, on 02.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Apoint\HidFind.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Dell\QuickSet\Quickset.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\VPN Client\cvpnd.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Temp\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\MAHADE~1\LOKALE~1\Temp\WXTOJVSWC.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = D:\Programme\VPN Client\vpngui.exe
O8 - Extra context menu item: Append to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: WXTOJVSWC - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\MAHADE~1\LOKALE~1\Temp\WXTOJVSWC.exe

--
End of file - 8896 bytes

Saurva 02.12.2008 12:48
Suchlauf nach RootKits unter Avira
 
Ich habe mit Antivir einen Suchlauf nach Rootkits durchgeführt, folgende Warnungen wurden ausgespuckt:
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 2. Dezember 2008  09:49

Es wird nach 1062138 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    M*
Computername:    N*

Versionsinformationen:
BUILD.DAT    : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 14:49:58
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  19.07.2008 13:13:11
LUKE.DLL      : 8.1.4.5      164097 Bytes  19.07.2008 13:13:11
LUKERES.DLL  : 8.1.4.0        12545 Bytes  19.07.2008 13:13:11
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 22:24:46
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 08:32:03
ANTIVIR2.VDF  : 7.1.0.160    571392 Bytes  30.11.2008 10:01:47
ANTIVIR3.VDF  : 7.1.0.164      25600 Bytes  01.12.2008 10:01:47
Engineversion : 8.2.0.36 
AEVDF.DLL    : 8.1.0.6      102772 Bytes  15.10.2008 18:48:18
AESCRIPT.DLL  : 8.1.1.15      332156 Bytes  13.11.2008 14:54:16
AESCN.DLL    : 8.1.1.5      123251 Bytes  09.11.2008 09:03:53
AERDL.DLL    : 8.1.1.3      438645 Bytes  06.11.2008 19:21:22
AEPACK.DLL    : 8.1.3.4      393591 Bytes  13.11.2008 14:54:16
AEOFFICE.DLL  : 8.1.0.30      196986 Bytes  09.11.2008 09:03:52
AEHEUR.DLL    : 8.1.0.71    1487222 Bytes  09.11.2008 09:03:52
AEHELP.DLL    : 8.1.2.0      119159 Bytes  18.11.2008 18:20:37
AEGEN.DLL    : 8.1.1.6      323955 Bytes  29.11.2008 10:01:38
AEEMU.DLL    : 8.1.0.9      393588 Bytes  15.10.2008 18:48:11
AECORE.DLL    : 8.1.5.2      172405 Bytes  29.11.2008 10:01:37
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 18:48:10
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  19.07.2008 13:13:11
AVPREF.DLL    : 8.0.2.0        38657 Bytes  19.07.2008 13:13:11
AVREP.DLL    : 8.0.0.2        98344 Bytes  31.07.2008 13:09:36
AVREG.DLL    : 8.0.0.1        33537 Bytes  19.07.2008 13:13:11
AVARKT.DLL    : 1.0.0.23      307457 Bytes  16.04.2008 22:05:49
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  19.07.2008 13:13:11
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  16.04.2008 22:05:49
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  19.07.2008 13:13:11
NETNT.DLL    : 8.0.0.1        7937 Bytes  16.04.2008 22:05:49
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  19.07.2008 13:13:08
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  19.07.2008 13:13:08

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Suche nach Rootkits
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\rootkit.avp
Protokollierung..................: hoch
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00300922

Beginn des Suchlaufs: Dienstag, 2. Dezember 2008  09:49

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag10.00.00.01workstation
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '530267' Objekte überprüft, '2' versteckte Objekte wurden gefunden.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\
  23990098.$$$
  AUTOEXEC.BAT
  boot.ini
  bootfont.bin
  caisslog.txt
  CONFIG.SYS
  CTX.DAT
  IO.SYS
  MSDOS.SYS
  NTDETECT.COM
  ntldr
  pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\LocalService\
  NTUSER.DAT
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  ntuser.dat.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\
  UsrClass.dat
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  UsrClass.dat.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\M*\
  NTUSER.DAT
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  ntuser.dat.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

parent.lock
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  permissions.sqlite
  places.sqlite
  places.sqlite-journal
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\
  UsrClass.dat
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  UsrClass.dat.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

esupdate.exe
    [0] Archivtyp: Runtime Packed
    --> Object
  etilqs_4RGN3rMsj02mylGxuIwZ
  etilqs_cJoZTDhJ8udL0rYOJyS3
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Temp\hsperfdata_M*\
  3224
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Temp\grass6--3372\
  gisrc

    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\NetworkService\
  NTUSER.DAT
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  ntuser.dat.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  ntuser.ini
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Intel\Wireless\Settings\
  Settings.ini
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Intel\Wireless\WLANProfiles\
  Profiles.enc
C:\Dokumente und Einstellungen\NetworkService\Cookies\
  index.dat
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\
  desktop.ini
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\
  UsrClass.dat
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  UsrClass.dat.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\System Volume Information\
 
    [WARNUNG]  Systemfehler [5]: Zugriff verweigert


C:\WINDOWS\system32\config\
  Antiviru.evt
  Antivirus.Evt
  AppEvent.Evt
  default
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  default.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  default.sav
  ODiag.evt
  OSession.evt
  SAM
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  SAM.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  SecEvent.Evt
  SECURITY
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  SECURITY.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  software
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  software.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  software.sav
  SysEvent.Evt
  system
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  system.LOG
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\WINDOWS\Temp\
  dneinst.log
  install.exe
  kds.xml
  libFNP_events.log
  libFNP_events.log.bak
  Perflib_Perfdata_1d0.dat
  Perflib_Perfdata_33c.dat
  Perflib_Perfdata_7b0.dat
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  PQ_DEBUG.TXT


  System.EnterpriseServices.dll
  System.EnterpriseServices.Wrapper.dll


Ende des Suchlaufs: Dienstag, 2. Dezember 2008  10:16
Benötigte Zeit: 26:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  6258 Verzeichnisse wurden überprüft
 265666 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
    28 Dateien konnten nicht durchsucht werden
 265638 Dateien ohne Befall
  8722 Archive wurden durchsucht
    29 Warnungen
      0 Hinweise
 530267 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:22 Uhr.

Copyright ©2000-2026, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19