|
TR/Dldr.Java.Agent.CF Hallo, hab mal avira einen suchlauf machen lassen und da kam dieser trojaner zum vorschein. avira hat ihn in quarantäne verschoben. ist das ein ernstes problem oder eher harmlos? hab leider nicht so viel ahnung von dem ganzen... :( hier mal der report vom avira: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 04. Juni 2010 13:34 Es wird nach 2188598 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ***-8069978D Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 04:17:01 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 04:17:01 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 04:17:01 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 18:30:37 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:39:57 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:23:08 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 22:41:30 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 11:33:37 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 11:33:37 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 11:33:37 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 11:33:37 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 11:33:37 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 11:33:37 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 11:33:37 VBASE013.VDF : 7.10.7.225 2048 Bytes 02.06.2010 11:33:37 VBASE014.VDF : 7.10.7.226 2048 Bytes 02.06.2010 11:33:37 VBASE015.VDF : 7.10.7.227 2048 Bytes 02.06.2010 11:33:37 VBASE016.VDF : 7.10.7.228 2048 Bytes 02.06.2010 11:33:37 VBASE017.VDF : 7.10.7.229 2048 Bytes 02.06.2010 11:33:38 VBASE018.VDF : 7.10.7.230 2048 Bytes 02.06.2010 11:33:38 VBASE019.VDF : 7.10.7.231 2048 Bytes 02.06.2010 11:33:38 VBASE020.VDF : 7.10.7.232 2048 Bytes 02.06.2010 11:33:38 VBASE021.VDF : 7.10.7.233 2048 Bytes 02.06.2010 11:33:38 VBASE022.VDF : 7.10.7.234 2048 Bytes 02.06.2010 11:33:38 VBASE023.VDF : 7.10.7.235 2048 Bytes 02.06.2010 11:33:38 VBASE024.VDF : 7.10.7.236 2048 Bytes 02.06.2010 11:33:38 VBASE025.VDF : 7.10.7.237 2048 Bytes 02.06.2010 11:33:38 VBASE026.VDF : 7.10.7.238 2048 Bytes 02.06.2010 11:33:38 VBASE027.VDF : 7.10.7.239 2048 Bytes 02.06.2010 11:33:38 VBASE028.VDF : 7.10.7.240 2048 Bytes 02.06.2010 11:33:38 VBASE029.VDF : 7.10.7.241 2048 Bytes 02.06.2010 11:33:38 VBASE030.VDF : 7.10.7.242 2048 Bytes 02.06.2010 11:33:38 VBASE031.VDF : 7.10.7.249 56832 Bytes 04.06.2010 11:33:38 Engineversion : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 01.05.2010 20:58:56 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 04.06.2010 11:33:53 AESCN.DLL : 8.1.6.1 127347 Bytes 20.05.2010 20:21:02 AESBX.DLL : 8.1.3.1 254324 Bytes 01.05.2010 20:58:56 AERDL.DLL : 8.1.4.6 541043 Bytes 15.04.2010 22:41:43 AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 19:49:28 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 20.05.2010 20:21:02 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 04.06.2010 11:33:51 AEHELP.DLL : 8.1.11.5 242038 Bytes 04.06.2010 11:33:40 AEGEN.DLL : 8.1.3.10 377205 Bytes 04.06.2010 11:33:40 AEEMU.DLL : 8.1.2.0 393588 Bytes 01.05.2010 20:58:54 AECORE.DLL : 8.1.15.3 192886 Bytes 20.05.2010 20:20:58 AEBB.DLL : 8.1.1.0 53618 Bytes 01.05.2010 20:58:54 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 10.09.2009 23:40:04 AVREP.DLL : 8.0.0.7 159784 Bytes 27.02.2010 19:32:46 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 13.06.2009 22:06:04 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13.06.2009 22:06:03 RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 04:17:01 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Freitag, 04. Juni 2010 13:34 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '47538' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HotKeyDriver.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Mp4Player.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DeLay.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BisonHK.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPStart.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '42' Prozesse mit '42' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '58' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\51db689d-4e251cfc [0] Archivtyp: ZIP --> AppleT.class [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.CF Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\51db689d-4e251cfc [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c6cee70.qua' verschoben! Ende des Suchlaufs: Freitag, 04. Juni 2010 14:14 Benötigte Zeit: 39:35 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 4751 Verzeichnisse wurden überprüft 165516 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 165514 Dateien ohne Befall 3453 Archive wurden durchsucht 1 Warnungen 2 Hinweise 47538 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Bitte helft mir mfg potblack147 |
Hallo und :hallo: bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hi, habe den gleichen Fund heute gemacht. Da der Eröffner seine Logs nicht reingestellt hat werd ich das jetz mal machen. Da ich absoluter Neuling hier bin, hoff ich mal dass ich das richtig mache. 1. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4237 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 25.06.2010 11:49:13 mbam-log-2010-06-25 (11-49-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 208711 Laufzeit: 1 Stunde(n), 12 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) 2. OTL Logfile: Code: OTL logfile created on: 25.06.2010 11:50:43 - Run 13. OTL Logfile: Code: OTL Extras logfile created on: 25.06.2010 11:50:43 - Run 1 |
C:\WINDOWS\system32\drivers\Xprotector.sys Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen. Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten. |
Virustotal. MD5: 7ba1b5f85ab60e93ec4a72313e125462 meinst du das? hxxp://www.virustotal.com/de/analisis/506a32f5b3dbbeac36e8ff94cb64cfbdb963989ddfa04552ecad6f81b9c2c917-1277479653 |
Hm, also ich weiß nicht, was ich von dieser Datei halten soll. Die Hinweise mehren sich, dass ein ein Rootkit ist, aber auf Virustotal wird nichts gefunden. Lad diese Datei bitte mal bei und hoch => http://www.trojaner-board.de/54791-a...ner-board.html Beende danach alle Programme (auch Virenscanner!!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Außerdem musst Du den unkenntlich gemachten Benutzernamen wieder in den richtigen verwandeln, sonst funktioniert das Script nicht!! Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
bin mir nicht sicher ob ichs richtig gemacht habe aber hier mal das Log-file All processes killed ========== OTL ========== Error: No service named XPROTECTOR was found to stop! Service\Driver key XPROTECTOR not found. C:\WINDOWS\system32\drivers\Xprotector.sys moved successfully. Service aaudstum stopped successfully! Service aaudstum deleted successfully! C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\aaudstum.sys moved successfully. ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\aaudstum.sys not found. File\Folder C:\WINDOWS\system32\drivers\Xprotector.sys not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 405 bytes User: Matthias ->Temp folder emptied: 226189275 bytes ->Temporary Internet Files folder emptied: 68984319 bytes ->Java cache emptied: 46765495 bytes ->FireFox cache emptied: 80479817 bytes ->Flash cache emptied: 164783 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134333 bytes %systemroot%\System32 .tmp files removed: 2833287 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 21637785 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 429,00 mb OTL by OldTimer - Version 3.2.7.0 log created on 06262010_112638 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Das Xprotector.sys hab ich davor natürlich auch hochgeladen |
Möglicherweise nutzt irgendein von Dir installiertes Spiel einen Kopierschutztreiber, und dieser xprotector ist ein Bestandteil dieses Treibers. Prüf mal ob alle installierten Spiele sich noch starten lassen. |
alle Spiele lassen sich starten.. keine probleme aufgetreten sollte ich bei irgendwas ein problem erkennen, werd ich das hier melden. was das für ne Datei ist würd mich allerdings auch reizen zu erfahren. soweit mal :dankeschoen: |
Ok, wir sind aber noch nicht durch. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus |
alles klar, mach ich... muss allerdings heute außerhaus und komme vorraussichtlich nicht vor Dienstag zurück. sobald ich die sachen durchlaufen lassen hab meld ich mich wieder. Grüße |
Hier mal das Erste: GMER Logfile: GMER Logfile: Code: GMER 1.0.15.15281 - hxxp://www.gmer.net--- --- --- das Andere folgt bald edit Link zu OSAM funktioniert nicht |
hab jetzt auch mal osam laufen lassen: Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 21:15:46 on 29.06.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.6 Scanner Settings Rootkits detection (hidden registry) Rootkits detection (hidden files) Retrieve files information Check Microsoft signatures Filters Trusted entries Empty entries Hidden registry entries (rootkit activity) Exclusively opened files Not found files Files without detailed information Existing files Non-startable services Non-startable drivers Active entries Disabled entries Risk Name Publisher Full Path Status Common %SystemRoot%\Tasks "Driver Robot.job" C:\Programme\Driver Robot\1.1.0.14\DriverRobot.exe File not found HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options |||||| "taskmgr.exe" "Sysinternals - www.sysinternals.com" D:\PROGRAMME\TASK-MANAGER-ERSATZ\PROCEXP.EXE File exists Control Panel Objects %SystemRoot%\system32 |||||| "infocardcpl.cpl" "Microsoft Corporation" C:\WINDOWS\system32\infocardcpl.cpl File exists |||||| "javacpl.cpl" "Sun Microsystems, Inc." C:\WINDOWS\system32\javacpl.cpl File exists |||||| "nvtuicpl.cpl" "NVIDIA Corporation" C:\WINDOWS\system32\nvtuicpl.cpl File exists |||||| "PhysX.cpl" "NVIDIA Corporation" C:\WINDOWS\system32\PhysX.cpl File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls |||||| "Avira AntiVir Personal - Free Antivirus " "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists Drivers HKLM\SYSTEM\CurrentControlSet\Services |||||| "AEGIS Protocol (IEEE 802.1x) v3.1.6.0" (AegisP) "Meetinghouse Data Communications" C:\WINDOWS\System32\DRIVERS\AegisP.sys File exists |||||| "atksgt" (atksgt) C:\WINDOWS\System32\DRIVERS\atksgt.sys File found, but it contains no detailed information |||||| "avgio" (avgio) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avgio.sys File exists |||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avgntflt.sys File exists |||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avipbb.sys File exists |||||| "az6rmo6h" (az6rmo6h) "Microsoft Corporation" C:\WINDOWS\system32\drivers\az6rmo6h.sys Hidden registry entry, rootkit activity | File signed by Microsoft "Changer" (Changer) C:\WINDOWS\system32\drivers\Changer.sys File not found "EagleNT" (EagleNT) C:\WINDOWS\system32\drivers\EagleNT.sys File not found "GMSIPCI" (GMSIPCI) F:\INSTALL\GMSIPCI.SYS File not found |||||| "GVCplDrv" (GVCplDrv) C:\WINDOWS\system32\drivers\GVCplDrv.sys File found, but it contains no detailed information "i2omgmt" (i2omgmt) C:\WINDOWS\system32\drivers\i2omgmt.sys File not found "lbrtfdc" (lbrtfdc) C:\WINDOWS\system32\drivers\lbrtfdc.sys File not found |||||| "lirsgt" (lirsgt) C:\WINDOWS\System32\DRIVERS\lirsgt.sys File found, but it contains no detailed information |||||| "mbmiodrvr" (mbmiodrvr) "cansoft@livewiredev.com" C:\WINDOWS\system32\mbmiodrvr.sys File exists "NTACCESS" (NTACCESS) F:\NTACCESS.sys File not found "PCIDump" (PCIDump) C:\WINDOWS\system32\drivers\PCIDump.sys File not found "PDCOMP" (PDCOMP) C:\WINDOWS\system32\drivers\PDCOMP.sys File not found "PDFRAME" (PDFRAME) C:\WINDOWS\system32\drivers\PDFRAME.sys File not found "PDRELI" (PDRELI) C:\WINDOWS\system32\drivers\PDRELI.sys File not found "PDRFRAME" (PDRFRAME) C:\WINDOWS\system32\drivers\PDRFRAME.sys File not found |||||| "PxHelp20" (PxHelp20) "Sonic Solutions" C:\WINDOWS\System32\Drivers\PxHelp20.sys File exists "SetupNTGLM7X" (SetupNTGLM7X) F:\NTGLM7X.sys File not found |||||| "sptd" (sptd) "Duplex Secure Ltd." C:\WINDOWS\System32\Drivers\sptd.sys File is exclusively opened, access blocked |||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\ssmdrv.sys File exists "TAP-Win32 Adapter V9" (tap0901) "The OpenVPN Project" C:\WINDOWS\System32\DRIVERS\tap0901.sys File exists "WDICA" (WDICA) C:\WINDOWS\system32\drivers\WDICA.sys File not found Explorer HKCU\Software\Classes\Folder\shellex\ColumnHandlers {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" File not found | COM-object registry key not found HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components |||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install File exists HKLM\Software\Classes\Folder\shellex\ColumnHandlers |||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll File exists HKLM\Software\Classes\Protocols\Filter |||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists |||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists |||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists HKLM\Software\Classes\Protocols\Handler |||||| {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL File exists {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found |||||| {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists |||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists |||||| {21D928D4-4850-45E3-9982-AD57051ECD42} "EdrawingThumbNailProvider Class" "Dassault Systèmes SolidWorks Corp." C:\Programme\SolidWorks Corp\SolidWorks eDrawings\edrwthumbnailprovider.dll File exists {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found {73B24247-042E-4EF5-ADC2-42F62E6FD654} "MCLiteShellExt Class" C:\Programme\ICQLite\ICQLiteShell.dll File not found |||||| {49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\Wcesview.dll File exists |||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" File not found | COM-object registry key not found {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" File not found | COM-object registry key not found {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" File not found | COM-object registry key not found {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" File not found | COM-object registry key not found |||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\shlext.dll File exists |||||| {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found |||||| {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists |||||| {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" C:\Programme\WinRAR\rarext.dll File exists Sldworks Shell Extension "{3AFCEAFB-FFC5-403D-AD33-5914AB4B7ECC}" File not found | COM-object registry key not found Internet Explorer HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser "ITBarLayout" File not found | COM-object registry key not found "{D4027C7F-154A-4066-A1AD-4243D8127440}" File not found | COM-object registry key not found HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks |||| {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" "ICQ" C:\Programme\ICQ6Toolbar\ICQToolBar.dll File exists "{855F3B16-6D32-4fe6-8A56-BBB695989046}" File not found | COM-object registry key not found HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units |||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_20.dll File exists |||| {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_20.dll File exists |||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_20.dll File exists {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab File not found | COM-object registry key not found {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab File not found | COM-object registry key not found HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars |||| {855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" "ICQ" C:\Programme\ICQ6Toolbar\ICQToolBar.dll File exists HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions |||| {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\INetRepl.dll File exists |||| {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" "Microsoft Corporation" C:\PROGRA~1\MICROS~2\INetRepl.dll File exists "ICQ Lite" C:\Programme\ICQLite\ICQLite.exe File not found |||| "ICQ7" "ICQ, LLC." C:\Programme\ICQ7.0\ICQ.exe File exists || "PokerStars" "PokerStars" C:\Programme\PokerStars\PokerStarsUpdate.exe File exists HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar |||| "DAEMON Tools Toolbar" C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll File exists |||| {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" "ICQ" C:\Programme\ICQ6Toolbar\ICQToolBar.dll File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |||||| {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" "Adobe Systems Incorporated" C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll File exists |||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jp2ssv.dll File exists |||| {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" "Sun Microsystems, Inc." C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File exists Logon %AllUsersProfile%\Startmenü\Programme\Autostart |||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini File exists |||| "RaConfig2500.lnk" "Ralink Technology, Corp." C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe Shortcut exists | File exists %UserProfile%\Startmenü\Programme\Autostart |||||| "desktop.ini" C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\desktop.ini File exists |||| "OpenOffice.org 3.1.lnk" C:\Programme\OpenOffice.org 3\program\quickstart.exe Shortcut exists | File found, but it contains no detailed information | File exists "Trillian.lnk" C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\Trillian.lnk Shortcut exists | File not found HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |||| "DAEMON Tools Lite" "DT Soft Ltd" "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun File exists |||| "H/PC Connection Agent" "Microsoft Corporation" "C:\Programme\Microsoft ActiveSync\wcescomm.exe" File exists |||| "ICQ" "ICQ, LLC." "C:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4 File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Run |||| "Adobe ARM" "Adobe Systems Incorporated" "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" File exists |||| "Adobe Reader Speed Launcher" "Adobe Systems Incorporated" "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" File exists |||||| "avgnt" "Avira GmbH" "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File exists |||| "HP Lamp" "C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe" File found, but it contains no detailed information || "MBM 5" "Alex van Kaam" "C:\Programme\Motherboard Monitor 5\MBM5.EXE" File exists |||| "NVRTCLK" C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe File exists |||| "nwiz" "NVIDIA Corporation" nwiz.exe /install File exists |||| "SolidWorks_CheckForUpdates" "Dassault Systèmes SolidWorks Corp." "C:\Programme\Gemeinsame Dateien\SolidWorks Installations-Manager\Scheduler\sldIMScheduler.exe" /scheduler File exists |||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" File exists Services HKLM\SYSTEM\CurrentControlSet\Services |||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists "Anwendungsverwaltung" (AppMgmt) C:\WINDOWS\System32\appmgmts.dll File not found |||||| "ASP.NET State Service" (aspnet_state) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists |||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avguard.exe File exists |||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\sched.exe File exists || "ICQ Service" (ICQ Service) C:\Programme\ICQ6Toolbar\ICQ Service.exe File exists |||||| "Java Quick Starter" (JavaQuickStarterService) "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jqs.exe File exists "OpenVPN Service" (OpenVPNService) C:\Programme\OpenVPN\bin\openvpnserv.exe File found, but it contains no detailed information "Remote Solver for Flow Simulation 2009" (Remote Solver for Flow Simulation 2009) "Mentor Graphics Corporation" C:\Programme\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\StandAloneSlv.exe File exists |||||| "SolidWorks Licensing Service" (SolidWorks Licensing Service) "SolidWorks" C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe File exists |||||| "SW Distributed TS Coordinator Service" (CoordinatorServiceHost) "Dassault Systèmes SolidWorks Corp." C:\Programme\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe File exists |||||| "Windows CardSpace" (idsvc) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe File exists |||||| "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe File exists Winlogon HKCU\Control Panel\IOProcs "MVB" mvfs32.dll File not found HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" appmgmts.dll File not found If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4263 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 01.07.2010 14:24:25 mbam-log-2010-07-01 (14-24-25).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 215217 Laufzeit: 1 Stunde(n), 13 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:11 Uhr. |
Copyright ©2000-2024, Trojaner-Board