Habe ich ein Trojaner (Webprefix32)??

schrauber · 22.06.2009

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::

Rootkit::
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\bdf9201019.exe
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\bdf9201019.exe
c:\dokumente und einstellungen\Hustler\Anwendungsdaten\Macromedia\Common\bdf9201019.exe
c:\dokumente und einstellungen\Hustler\Anwendungsdaten\Macromedia\Common\bdf920101.dll
File::
c:\windows\system32\framedyn.dll
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WAB=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
WAB=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
midi2=-
wave1=-
aux1=-
mixer1=-
mixer2=-
midi1=-
wave2=-
aux2=-

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

ndy66 · 23.06.2009

hi,schrauber,es ist ja wirklich erstaunlich was du alles auf dem kasten hast,RESPEKT!!!! hier ist dein log von combofix mit dem cscript.txt,gruß ndy66
------------------------------------------------------------------------------------------------

Code:

ComboFix 09-06-22.07 - Hustler 23.06.2009 8:49.2 - NTFSx86
ausgeführt von:: c:\downloads\Software\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Hustler\Desktop\cfscript.txt
 * Im Speicher befindliches AV aktiv.


FILE ::
c:\windows\system32\framedyn.dll
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\framedyn.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2009-05-23 bis 2009-06-23 ))))))))))))))))))))))))))))))
.

2009-06-20 13:24 . 2009-06-20 13:25	--------	d-----w-	C:\rsit
2009-06-19 18:03 . 2009-06-19 18:03	--------	d-----w-	c:\programme\Trend Micro
2009-06-18 06:58 . 2009-06-19 05:38	--------	d-----w-	c:\programme\Ashampoo
2009-06-08 21:53 . 2009-06-08 21:53	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2009-06-08 21:45 . 2009-06-08 22:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-06-08 19:36 . 2009-06-08 22:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-06-06 10:29 . 2009-06-06 10:29	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-05-27 06:08 . 2009-05-27 06:09	--------	d-----w-	c:\programme\QuickTime
2009-05-27 06:06 . 2009-05-27 06:06	--------	d-----w-	c:\programme\Apple Software Update

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-22 15:37 . 2002-01-01 02:55	--------	d-----w-	c:\programme\SFT Loader
2009-06-22 15:20 . 2009-03-10 12:36	--------	d-----w-	c:\programme\Lavalys
2009-06-22 14:06 . 2008-04-27 14:16	--------	d-----w-	c:\dokumente und einstellungen\Hustler\Anwendungsdaten\LimeWire
2009-06-22 13:59 . 2008-05-24 13:53	--------	d-----w-	c:\dokumente und einstellungen\Hustler\Anwendungsdaten\SpinTop
2009-06-22 13:10 . 2008-04-14 11:36	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-06-21 12:49 . 2009-03-11 15:22	--------	d-----w-	c:\dokumente und einstellungen\Hustler\Anwendungsdaten\Free Download Manager
2009-06-20 13:02 . 2009-03-11 09:54	--------	d-----w-	c:\programme\Free Download Manager
2009-06-20 12:48 . 2008-04-26 10:59	--------	d-----w-	c:\programme\Spybot - Search &amp; Destroy
2009-06-18 07:51 . 2008-04-17 22:47	--------	d-----w-	c:\programme\MJ Xstream
2009-06-16 12:09 . 2008-04-26 10:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search &amp; Destroy
2009-06-16 04:57 . 2008-04-14 11:03	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-05-27 06:08 . 2008-10-02 22:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-04-26 19:14 . 2008-04-27 14:15	--------	d-----w-	c:\programme\LimeWire
2009-03-29 07:17 . 2006-02-28 12:00	74292	----a-w-	c:\windows\system32\perfc007.dat
2009-03-29 07:17 . 2006-02-28 12:00	416566	----a-w-	c:\windows\system32\perfh007.dat
2002-01-01 04:30 . 2002-01-01 04:30	0	--sh--w-	c:\windows\S12F1441F.tmp
.

(((((((((((((((((((((((((((((  SnapShot@2009-06-21_12.52.40  )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-23 06:58 . 2009-06-23 06:58	16384       c:\windows\Temp\Perflib_Perfdata_e8.dat
- 2009-03-07 00:31 . 2004-08-03 22:08	48640       c:\windows\system32\drivers\stream.sys
+ 2009-03-07 00:31 . 2004-08-03 21:08	48640       c:\windows\system32\drivers\stream.sys
+ 2009-03-07 00:32 . 2004-08-03 21:08	60288       c:\windows\system32\drivers\drmk.sys
- 2009-03-07 00:32 . 2004-08-03 22:08	60288       c:\windows\system32\drivers\drmk.sys
- 2009-03-07 00:31 . 2004-08-03 22:08	48640       c:\windows\system32\dllcache\stream.sys
+ 2009-03-07 00:31 . 2004-08-03 21:08	48640       c:\windows\system32\dllcache\stream.sys
- 2009-03-07 00:32 . 2004-08-03 22:08	60288       c:\windows\system32\dllcache\drmk.sys
+ 2009-03-07 00:32 . 2004-08-03 21:08	60288       c:\windows\system32\dllcache\drmk.sys
+ 2002-10-09 07:38 . 2002-10-09 07:38	32768       c:\windows\system32\cmnprop.dll
+ 2002-11-19 13:46 . 2002-11-19 13:46	39104       c:\windows\cmijack.dat
+ 2002-11-19 13:43 . 2002-11-19 13:43	22178       c:\windows\cmaudio.dat
- 2008-04-14 11:54 . 2004-08-03 23:57	4096       c:\windows\system32\ksuser.dll
+ 2008-04-14 11:54 . 2004-08-03 22:57	4096       c:\windows\system32\ksuser.dll
+ 2008-04-14 11:54 . 2004-08-03 22:57	4096       c:\windows\system32\dllcache\ksuser.dll
- 2008-04-14 11:54 . 2004-08-03 23:57	4096       c:\windows\system32\dllcache\ksuser.dll
+ 2009-03-07 00:31 . 2004-08-03 21:15	145792       c:\windows\system32\drivers\portcls.sys
- 2009-03-07 00:31 . 2004-08-03 22:15	145792       c:\windows\system32\drivers\portcls.sys
- 2009-03-07 00:32 . 2004-08-03 22:15	140928       c:\windows\system32\drivers\ks.sys
+ 2009-03-07 00:32 . 2004-08-03 21:15	140928       c:\windows\system32\drivers\ks.sys
+ 2002-11-18 13:51 . 2002-11-18 13:51	377358       c:\windows\system32\drivers\cmaudio.sys
+ 2009-03-07 00:31 . 2004-08-03 21:15	145792       c:\windows\system32\dllcache\portcls.sys
- 2009-03-07 00:31 . 2004-08-03 22:15	145792       c:\windows\system32\dllcache\portcls.sys
- 2009-03-07 00:32 . 2004-08-03 22:15	140928       c:\windows\system32\dllcache\ks.sys
+ 2009-03-07 00:32 . 2004-08-03 21:15	140928       c:\windows\system32\dllcache\ks.sys
- 2001-11-23 11:08 . 2001-11-23 11:08	712704       c:\windows\system32\dllcache\a3d.dll
+ 2001-11-23 11:08 . 2001-11-23 10:08	712704       c:\windows\system32\dllcache\a3d.dll
+ 2001-11-23 10:08 . 2001-11-23 10:08	712704       c:\windows\system32\Audio3D.dll
+ 2001-11-23 11:08 . 2001-11-23 10:08	712704       c:\windows\system32\a3d.dll
- 2001-11-23 11:08 . 2001-11-23 11:08	712704       c:\windows\system32\a3d.dll
+ 2000-10-20 16:28 . 2000-10-20 16:28	765952       c:\windows\system\crlds3d.dll
+ 2002-07-11 09:24 . 2002-07-11 09:24	139264       c:\windows\cmuninst.exe
+ 2002-07-11 10:13 . 2002-07-11 10:13	135168       c:\windows\cmuninst.dat
+ 2002-10-15 16:00 . 2002-10-15 16:00	1818624       c:\windows\mixer.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge &amp; legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
rundll32.exe= [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Adobe Reader Speed Launcher=c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
NoResolveTrack= 1 (0x1)
NoFileAssociate= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ  	autocheck

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
&lt;NO NAME>=

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
UpdatesDisableNotify=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
EnableFirewall= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
c:\\Programme\\LimeWire\\LimeWire.exe=
c:\\Programme\\Bonjour\\mDNSResponder.exe=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
AllowInboundEchoRequest= 1 (0x1)

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [02.01.2002 23:33 20096]
R2 AVKService;AVK Service;c:\programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe [02.01.2002 23:32 407376]
R2 AVKWCtl;AVK Wächter;c:\programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe [02.01.2002 23:32 1103696]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [02.01.2002 23:33 40400]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [14.04.2008 13:05 47312]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [02.01.2002 23:33 31568]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [01.01.2002 00:24 215040]
S3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe [02.01.2002 23:32 976720]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 AVKProxy;AVKProxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [02.01.2002 23:32 636752]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des geplante Tasks Ordners

2009-06-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Download with GetRight
IE: Open with GetRight Browser
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url]http://www.gmer.net[/url]
Rootkit scan 2009-06-23 08:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - >->explorer.exe'(2652)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-23 9:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-23 07:05
ComboFix2.txt 2009-06-21 12:59

Vor Suchlauf: 14 Verzeichnis(se), 22.968.037.376 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 22.948.904.960 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT=Microsoft Windows Recovery Console /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Home Edition /noexecute=optin /fastdetect

167	--- E O F ---	2008-05-22 07:41

schrauber · 23.06.2009

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_mwb
tool laufen lassen, log posten

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_kas
onlinescan mit dem internet explorer machen, log posten

poste auch ein frisches rsit-logfile. macht der rechner noch kummer?

ndy66 · 24.06.2009

hallo schrauber,also,die läßtigen fehlermeldungen kommen im moment nicht mehr,leider konnte ich den onlinescan nicht ausführen da er bei 36min.und 9% hängengeblieben ist,die rsit.exe konnte ich auch nicht starten,hmm?,ich sende dir jetzt mal die log von der Malwarebytes und von hijackthis,gruß ndy66
-----------------------------------------------------------------------------------------------

Code:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2326
Windows 5.1.2600 Service Pack 2

24.06.2009 03:14:40
mbam-log-2009-06-24 (03-14-40).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|G:\|)
Durchsuchte Objekte: 123673
Laufzeit: 1 hour(s), 57 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1aa406ab-f581-42ab-b4d1-31d2e13819ef} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e19b133d-184e-4bba-8a70-38489c9dd31b} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.pox (Rogue.FixTool) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\WINDOWS\system32\blackster.scr.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{fe4021b2-fec9-4240-83d1-898ac1f42141}\RP170\A0053547.exe (Rogue.PerfectOptimizer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{fe4021b2-fec9-4240-83d1-898ac1f42141}\RP175\A0054845.scr (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{fe4021b2-fec9-4240-83d1-898ac1f42141}\RP177\A0055087.exe (Rogue.RegistryDoktor2009) -> Quarantined and deleted successfully.

[br][br]Erstellt am: 24.06.09 um 11:49:57

[br]und jetzt hijackthis log-datei( was ich noch sagen wollte,wenn ich versuche programme zu öffnen dann dauert dieses recht lange,hmmm?)
-----------------------------------------------------------------------------------------------

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:29, on 24.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.google.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - [url]http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab[/url]
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner - C:\Programme\Windows Media Player\WMPNetwk.exe (file missing)

--
End of file - 2640 bytes

schrauber · 24.06.2009

dann anders:

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_atf
laufen lasen

http://www.eset.com/onlinescan/
diesen onlinescan machen

ndy66 · 25.06.2009

hallo schrauber,ich stehe mal wieder auf dem schlauch,danke erstmal für deine geduld mit mir,also: was soll ich als script in der codebox zu avenger eingeben??
input script heregruß ndy66

schrauber · 25.06.2009

avenger??? ich hab zum atf cleaner verlinkt.

PCDpan_fee · 25.06.2009

schrauber schrieb:
ich hab zum atf cleaner verlinkt.

hier nochmal der Link:
http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_atf

pan_fee

ndy66 · 25.06.2009

sorry,ich habe vor lauter bäume den wald nicht gesehen,AFT-cleaner habe ich ausgeführt,dann ESET-onlinescan gemacht,staun,staun,das ist ja der hammer,26 dateien sind infecdet mit trojaner
ich zeige dir mal den log dazu,mal schauen was dir dazu jetzt einfällt,gruß ndy66

ndy66 · 26.06.2009

Code:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=1
# version=6
# iexplore.exe=6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
# OnlineScanner.ocx=1.0.0.5863
# api_version=3.0.2
# EOSSerial=5ae7f766e98f15469553c8e7ee196425
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-06-25 10:12:44
# local_time=2009-06-25 12:12:44 (+0100, Westeuropäische Sommerzeit)
# country=Germany
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=4097 21 66 60 704083228125000
# scanned=35244
# found=26
# cleaned=26
# scan_time=3663
C:\Dokumente und Einstellungen\Hustler\Anwendungsdaten\iolo\Installers\SystemMechanic7.exe	probably unknown NewHeur_PE virus (deleted - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP171\A0053571.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP171\A0053574.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP171\A0053590.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP173\A0053716.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP173\A0053717.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP173\A0053726.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0053727.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0053729.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054723.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054724.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054740.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054742.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054753.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054754.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054761.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054766.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054776.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054777.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054792.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP174\A0054793.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP175\A0054803.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP175\A0054804.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP175\A0054805.dll	Win32/Agent.PPW trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP176\A0055029.exe	Win32/Tiny.NAE trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000
C:\System Volume Information\_restore{FE4021B2-FEC9-4240-83D1-898AC1F42141}\RP179\A0055463.exe	probably unknown NewHeur_PE virus (deleted - quarantined)	00000000000000000000000000000000

ndy66 · 26.06.2009

und noch ein frisches rsit-bericht
-----------------------------------------------------------------------------------------------

Code:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Hustler at 2009-06-26 08:49:26
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 22 GB (69%) free of 32 GB
Total RAM: 511 MB (19% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:50:05, on 26.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Hustler\Desktop\rsit 26.06.09\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Hustler.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.google.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - [url]http://download.eset.com/special/eos/OnlineScanner.cab[/url]
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner - C:\Programme\Windows Media Player\WMPNetwk.exe (file missing)

--
End of file - 2715 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Adobe Reader Speed Launcher=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
QuickTime Task=C:\Programme\QuickTime\qttask.exe [2009-01-05 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2006-02-28 240128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername=0
legalnoticecaption=
legalnoticetext=
undockwithoutlogon=1
ShutdownWithoutLogon=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDrives=0
NoDriveAutoRun=67108863
NoDriveTypeAutoRun=323

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoResolveTrack=
NoFileAssociate=
NoDrives=
NoDriveAutoRun=
NoDriveTypeAutoRun=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Programme\LimeWire\LimeWire.exe=C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire
C:\Programme\Bonjour\mDNSResponder.exe=C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Programme\Windows Live\Messenger\msnmsgr.exe=C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Programme\Windows Live\Messenger\livecall.exe=C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)

======File associations======

.js - open - NOTEPAD.EXE %1
.vbs - open - NOTEPAD.EXE %1

======List of files/folders created in the last 1 months======

2009-06-25 11:03:28 ----D---- C:\Programme\ESET
2009-06-25 02:07:01 ----A---- C:\avenger.txt
2009-06-25 01:54:16 ----A---- C:\WINDOWS\IE4 Error Log.txt
2009-06-24 05:31:30 ----SHD---- C:\RECYCLER
2009-06-24 04:36:30 ----D---- C:\WINDOWS\system32\Kaspersky Lab
2009-06-24 00:04:35 ----D---- C:\Dokumente und Einstellungen\Hustler\Anwendungsdaten\Malwarebytes
2009-06-24 00:03:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-23 08:47:49 ----A---- C:\Boot.bak
2009-06-23 08:47:23 ----RASHD---- C:\cmdcons
2009-06-22 15:09:59 ----D---- C:\Programme\Adobe
2009-06-21 14:35:02 ----A---- C:\WINDOWS\NIRCMD.exe
2009-06-21 14:35:01 ----A---- C:\WINDOWS\zip.exe
2009-06-21 14:35:01 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-06-21 14:35:01 ----A---- C:\WINDOWS\SWSC.exe
2009-06-21 14:35:01 ----A---- C:\WINDOWS\SWREG.exe
2009-06-21 14:35:01 ----A---- C:\WINDOWS\sed.exe
2009-06-21 14:35:01 ----A---- C:\WINDOWS\PEV.exe
2009-06-21 14:35:01 ----A---- C:\WINDOWS\grep.exe
2009-06-21 14:34:38 ----D---- C:\WINDOWS\ERDNT
2009-06-21 14:34:19 ----D---- C:\Qoobox
2009-06-20 15:24:44 ----D---- C:\rsit
2009-06-20 15:05:07 ----A---- C:\WINDOWS\system32\tmp.txt
2009-06-20 15:04:39 ----A---- C:\rapport.txt
2009-06-19 20:03:07 ----D---- C:\Programme\Trend Micro
2009-06-18 10:03:14 ----A---- C:\WINDOWS\system32\oeminfo.ini
2009-06-18 08:58:56 ----D---- C:\Programme\Ashampoo
2009-06-08 23:45:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-06-08 21:36:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-05-27 08:08:57 ----D---- C:\Programme\QuickTime
2009-05-27 08:06:19 ----D---- C:\Programme\Apple Software Update

======List of files/folders modified in the last 1 months======

2009-06-26 08:50:05 ----D---- C:\WINDOWS\Temp
2009-06-26 08:49:32 ----D---- C:\WINDOWS\Prefetch
2009-06-26 08:42:22 ----D---- C:\Programme\Mozilla Firefox
2009-06-25 16:48:01 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-06-25 11:03:37 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-06-25 11:03:35 ----D---- C:\WINDOWS\system32\CatRoot2
2009-06-25 11:03:28 ----D---- C:\Programme
2009-06-25 09:12:55 ----D---- C:\Downloads
2009-06-25 09:08:20 ----D---- C:\WINDOWS\system32\drivers
2009-06-25 01:54:16 ----D---- C:\WINDOWS
2009-06-24 04:36:30 ----D---- C:\WINDOWS\system32
2009-06-24 04:36:29 ----HD---- C:\WINDOWS\inf
2009-06-23 09:02:48 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-06-23 08:59:44 ----A---- C:\WINDOWS\system.ini
2009-06-23 08:54:18 ----D---- C:\WINDOWS\AppPatch
2009-06-23 08:54:14 ----D---- C:\Programme\Gemeinsame Dateien
2009-06-23 08:47:49 ----RASH---- C:\boot.ini
2009-06-23 07:58:57 ----SD---- C:\Dokumente und Einstellungen\Hustler\Anwendungsdaten\Microsoft
2009-06-22 17:37:12 ----D---- C:\Programme\SFT Loader
2009-06-22 17:20:12 ----D---- C:\Programme\Lavalys
2009-06-22 16:09:47 ----D---- C:\Dokumente und Einstellungen\Hustler\Anwendungsdaten\Macromedia
2009-06-22 16:06:15 ----D---- C:\Dokumente und Einstellungen\Hustler\Anwendungsdaten\LimeWire
2009-06-22 15:59:53 ----D---- C:\Dokumente und Einstellungen\Hustler\Anwendungsdaten\SpinTop
2009-06-22 15:24:00 ----D---- C:\recordings
2009-06-22 15:11:50 ----SHD---- C:\WINDOWS\Installer
2009-06-22 15:11:45 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-06-22 15:10:48 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-06-22 05:58:55 ----A---- C:\WINDOWS\win.ini
2009-06-22 03:51:33 ----A---- C:\WINDOWS\mixerdef.ini
2009-06-21 22:36:01 ----D---- C:\WINDOWS\system
2009-06-21 18:44:25 ----D---- C:\WINDOWS\system32\config
2009-06-21 14:57:57 ----SD---- C:\WINDOWS\Tasks
2009-06-21 14:49:51 ----D---- C:\WINDOWS\system32\Macromed
2009-06-21 14:49:25 ----D---- C:\Dokumente und Einstellungen\Hustler\Anwendungsdaten\Free Download Manager
2009-06-21 10:07:34 ----D---- C:\Programme\Windows Media Player
2009-06-20 15:02:17 ----D---- C:\Programme\Free Download Manager
2009-06-20 14:48:03 ----D---- C:\Programme\Spybot - Search &amp; Destroy
2009-06-20 04:56:19 ----A---- C:\WINDOWS\wininit.ini
2009-06-19 07:55:45 ----D---- C:\WINDOWS\system32\Adobe
2009-06-19 07:55:45 ----D---- C:\Dokumente und Einstellungen\Hustler\Anwendungsdaten\Adobe
2009-06-19 07:54:19 ----D---- C:\WINDOWS\WinSxS
2009-06-18 09:51:17 ----D---- C:\Programme\MJ Xstream
2009-06-16 14:09:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search &amp; Destroy
2009-06-16 06:57:48 ----HD---- C:\Programme\InstallShield Installation Information
2009-06-16 06:55:09 ----D---- C:\WINDOWS\Downloaded Installations
2009-06-09 00:27:45 ----D---- C:\WINDOWS\system32\LogFiles
2009-05-27 08:08:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2006-02-28 41472]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2007-08-07 25160]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2006-02-28 14848]
R1 VClone;VClone; C:\WINDOWS\system32\DRIVERS\VClone.sys [2008-05-30 25344]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2002-01-02 278984]
R2 GDTdiInterceptor;GDTdiInterceptor; \??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys []
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2002-01-02 25416]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2006-02-28 88448]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2006-02-28 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2006-02-28 55936]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2006-02-28 60800]
R3 cmpci;C-Media PCI Audio Driver (WDM); C:\WINDOWS\system32\drivers\cmaudio.sys [2002-11-18 377358]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 GDMnIcpt;GDMnIcpt; \??\C:\WINDOWS\system32\drivers\MiniIcpt.sys []
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2006-02-28 9600]
R3 HookCentre;HookCentre; \??\C:\WINDOWS\system32\drivers\HookCentre.sys []
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-02-28 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2006-02-28 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-04-13 1897408]
R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2004-05-25 48640]
R3 NVENET;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENET.sys [2004-01-29 93764]
R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2004-05-25 396032]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2006-02-28 5888]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter; C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-05-04 215040]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2006-02-28 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2006-02-28 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2006-02-28 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2006-02-28 17024]
S3 catchme;catchme; \??\C:\DOKUME~1\Hustler\LOKALE~1\Temp\catchme.sys []
S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS []
S3 NTACCESS;NTACCESS; \??\D:\NTACCESS.sys []
S3 SANDRA;SANDRA; \??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys []
S3 SetupNTGLM7X;SetupNTGLM7X; \??\D:\NTGLM7X.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AVKService;AVK Service; C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe [2007-04-02 407376]
R2 AVKWCtl;AVK Wächter; C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe [2007-04-02 1103696]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-18 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R3 GDFwSvc;G DATA Personal Firewall; C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe [2007-02-28 976720]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe []
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2006-02-28 14336]
S4 AVKProxy;AVKProxy; C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2007-03-30 636752]
S4 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-08-29 238888]

-----------------EOF-----------------

schrauber · 26.06.2009

Supi, noch irgendwelche Probleme?

ndy66 · 27.06.2009

hi,schrauber...heißt das,das alles ok ist laut rsit-log?gibst du grünes licht,gruß ndy66

PCDpan_fee · 27.06.2009

ndy66 schrieb:
...heißt das,das alles ok ist

neine, schrauber frag ob du noch Auffälligkeiten mit deinem PC hast.

Backdoor, Trojaner, Webprefix32, etc. kommen nicht einfach so auf dem PC.
Man hat sich die Dinger irgendwann mal mehr oder weniger wissentlich installiert. Auf normalen Seiten bekommt man keine Trojaner installiert oder einen Virus aufs System geschmuggelt.
Überdenke mal dein Surfverhalten für die Zukunft!!!

pan_fee

schrauber · 27.06.2009

ndy66 schrieb:
hi,schrauber...heißt das,das alles ok ist laut rsit-log?gibst du grünes licht,gruß ndy66

PCDpan_fee schrieb:
ndy66 schrieb:

...heißt das,das alles ok ist

Zum Vergrößern anklicken....

neine, schrauber frag ob du noch Auffälligkeiten mit deinem PC hast.

Backdoor, Trojaner, Webprefix32, etc. kommen nicht einfach so auf dem PC.
Man hat sich die Dinger irgendwann mal mehr oder weniger wissentlich installiert. Auf normalen Seiten bekommt man keine Trojaner installiert oder einen Virus aufs System geschmuggelt.
Überdenke mal dein Surfverhalten für die Zukunft!!!

pan_fee

so ne mischung aus beidem

sag mir also bitte ob du noch probleme hast, wenn nein fangen wir an aufzuräumen.

ndy66 · 29.06.2009

hallo schrauber,ich weiß einfach nicht mehr weiter,virus da virus hier,trojaner sowieso,ich möchte ganz einfach in ruhe und ohne probleme surfen,ich bin bestimmt nicht einer der online-geldgeschäfte macht oder sich auf pornoseiten sich aufhält,da heißt es, das ich dies wissentlich tue,wie in meinen anhang zu lesen ist,was ein schwachsinn,naja laber,laber,also ich habe noch folgendes problem(e),ich habe stark die vermutung,das meine g-data totalsecure 2007 manipuliert ist,ich denke da an trojaner die das ausführen der o.g. g-data daran hindern richtig zu funzen,kannst du mal vielleicht diese checken?,der ie6 sp2 läßt sich auch nicht mehr aufbauen,ständig habe ich regestry-probleme,irgentwas mit lsp-sockel kommt hinzu,u.s.w,ich würde dier ja gerne mehr speziefische angaben machen,aber leider weiß ich nicht mehr weiter,ich kann dir erstmal ein hijack-log posten,würde dann gerne deine hilfe weiter in anspruch nehmen,danke erstmal,gruß ndy66
-------------------------------------------------------------------------------------------------

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:30, on 29.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
C:\Programme\1&amp;1\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

[color=red]O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe[/color]
[color=red]O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe[/color]
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\1&amp;1\IGDCTRL.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc) - Unknown owner [color=red]- C:\Programme\Windows Media Player\WMPNetwk.exe (file missing)
[/color]
--
End of file - 1763 bytes

schrauber · 29.06.2009

deinstalliere gdata und installier es wieder neu, der 010 is normal. update dann gdata und lass nen komplettscan machen, poste mir das logfile

ndy66 · 30.06.2009

hallo schrauber,danke für deine antwort,leider kann ich die g-data nicht deintallieren weil ich die dazugehörige software nicht mehr habe um sie dann wieder neu zu installieren :-\was machen wir jetzt?vielleicht doch deintallieren und dann eine alternative (freeware) neu installieren,was meinst du?

schrauber · 30.06.2009

genau, oder gdata im netz laden, geht auch. wenn du freeware suchst nimm antivir.

ndy66 · 30.06.2009

hi schrauber,also,womit fange ich an :-\,ich habe versucht die g-data zu deinstallieren über >start>programmzugriff,dieses ist auch teilweise passiert,jetzt kommt mein problem,es sind von der g-data einige sachen übrig geblieben die sich absolut nicht deinstallieren lassen,bevor ich jetzt hier anfange sachen zu löschen von denen ich keine ahnung habe so suche ich doch lieber bei dir rat als profi,bin echt am totalen kotzen,hinzu kommt das ich mir das programm threatFire von euer seite runtergeladen habe,habe aber festgestell,das diese keine log-datei hat,hätte dir gerne es gepostet,aber nach einen scan war hier alles in ordung,so jetzt bist du wieder einmal gefragt,oder was mir gerade einfällt,soll ich wieder einen wiederherstellungspunkt machen?? danke im voraus,gruß ndy66 :danke1:

Habe ich ein Trojaner (Webprefix32)??

schrauber

ndy66

schrauber

ndy66

schrauber

ndy66

schrauber

PCDpan_fee

ndy66

ndy66

ndy66

schrauber

ndy66

PCDpan_fee

schrauber

ndy66

schrauber

ndy66

schrauber

ndy66

Habe ich ein Trojaner (Webprefix32)??

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums