|
Plagegeister aller Art und deren Bekämpfung: Nach PC-Absturz Trojaner msa.exe und weitere entdecktWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.08.2009, 23:13 | #1 |
| Nach PC-Absturz Trojaner msa.exe und weitere entdeckt Im Systemtray erleuchtete soeben das Shield-Icon vom Sicherheitscenter und meldete kurz etwas davon, dass mein PC angegriffen wird. Noch bevor ich das Netzwerkkabel ziehen konnte, verabschiedete sich mein Win XP Pro mit einem Bluescreen. Nach einem Neustart war im Sicherheitscenter die Win-Firewall komplett deaktiviert - diese habe ich sonst standarmäßig immer an. Im Taskmanager ist mir dann der Prozess msb.exe bzw. msa.exe aufgefallen. Habe dann Malwarebytes' Anti-Malware durchlaufen lassen, wo mir direkt 15 infizierte Dateien angezeigt wurden, die jetzt in Quarantäne sind. (habe in einem englischsprachigen Forum bzgl. msb.exe den Weg zu Malwarebytes gefunden und dieses durchlaufen lassen, bevor ich den Weg hierher gefunden habe, darum lief CCleaner & RSIT noch nicht durch) Bin sehr beunruhigt und würde mich freuen wenn mir Rat gegeben werden könnte wie ich weiter vorgehen muß. Hier mein Malwarebytes Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2710 Windows 5.1.2600 Service Pack 2 28.08.2009 20:09:08 mbam-log-2009-08-28 (20-09-08).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 89948 Laufzeit: 2 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 10 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\UACd.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\UAC5805.tmp (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wcmrsxeano.tmp (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rasvsnet.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\scxaowemnr.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\sxcnoawerm.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\osnmxeacrw.tmp (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\prun.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\msb.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. |
29.08.2009, 14:33 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach PC-Absturz Trojaner msa.exe und weitere entdeckt Hallo und
__________________bitte diese Liste beachten und abarbeiten. (außer MalwareBytes) Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
29.08.2009, 15:48 | #3 |
| Nach PC-Absturz Trojaner msa.exe und weitere entdeckt Danke für deine Anweisungen, habe diese soeben befolgt:
__________________CCleaner und RSIT sind durchgelaufen. Als Anhang alle 3 Dateien, der oben gepostete mbam-log, sowie die log & info Datei von RSIT: http://www.file-upload.net/download-...3/log.zip.html |
29.08.2009, 16:34 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach PC-Absturz Trojaner msa.exe und weitere entdecktCode:
ATTFilter Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Code:
ATTFilter O23 - Service: ODBC Administration Service (odbcasvc) - Unknown owner - C:\WINDOWS\SYSTEM32\odbcasvc.EXE (file missing) 1. Klick auf Start, Ausführen (oder Wintaste+R), gib cmd ein => ok 2. das hier eintippen: sc delete odbcasvc Damit der Dienst gelöscht wird. Ist das ein Büro-PC? Ich hab da Anwendungen gesehen, die eigentlich für den Heim-/Privatgebrauch ungewöhnlich sind. Es handelt sich um Autodesk-Software (Backburner, 3dsmax), Adobe Acrobat 7 (das Vollprogramm nicht nur der Reader!), Adobe CS3 (so eine Lizenz ist nicht gerade billig) Code:
ATTFilter C:\WINDOWS\system32\drivers\UACd.sys (Trojan.Agent) Rootkitscan mit RootRepeal
__________________ Logfiles bitte immer in CODE-Tags posten |
29.08.2009, 22:58 | #5 |
| Nach PC-Absturz Trojaner msa.exe und weitere entdeckt RootRepeal stürzt bei mir leider immer ab. Driver Scan funktioniert aber sobald ich etwas mit einer Laufwerksangabe Scannen will, wie "Files", oder das von dir gewünschte "Report", dann steht im Programm "Initializing, Please wait..." - auch nach über 3 Stunden wartens tut sich da nichts (Festplattenaktivität ist auch nicht zu hören). Auf "Stop" kann ich dann auch nicht mehr klicken - oben im Fenster erscheint dann "keine Rückmeldung" - damit hängt sich dann mein ganzes System auf, Maus bewegen geht noch, alles andere nicht mehr, nur ein ein Neustart per Reset-Knopf hilft dann. Gibts ein anderes Tool, z.B GMER, dass den gewünschten Report beschaffen könnte? Bezüglich SP2/IE6: Zum Browsen benutze ich IE6 nicht, sondern nur Firefox in neuster Version, von daher sollte meine IE Version egal sein (hoffe ich doch mal - bitte um Aufklärung sollte dies nicht der Fall sein). Was das Service Pack angeht muß ich zugeben, dass als ich mich das letzte mal mit SP3 beschäftigte, ich die Meinung aufgeschnappt und gelgaubt hatte, dass SP3 mehr Probleme bereitet als zu helfen. Deine schockierte Reaktion auf mein SP2 und der Hinweis auf SP3 bei Win XP im Abschnitt "Nach der Neuinstallation" im Definition: Technische Kompromittierung Thread, macht mir jedoch klar, dass SP3 Pflicht ist. Sollte ich SP3 jetzt sofort aufspielen oder erst warten bis weitere Sachen, wie Trojaner/Rootkit Probleme geklärt sind? Nochmal vielen Dank für eure Unterstützung - dieses Forum ist wirklich super! |
31.08.2009, 16:48 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach PC-Absturz Trojaner msa.exe und weitere entdeckt 1) Rootrepeal: Das Programm ist leider noch etwas buggy und stürzt auf vielen Systemen einfach ab. 2) IE6: Der ist veraltet und es ist unsicher, den weiter installiert zu haben - auch wenn Du ihn nicht zum Surfen verwendest, denn leider nutzt auch Windows intern seine Kernkomponenten. Spiel den IE8 ein. Aber erst später nach einer "Entwarnung". Da Rootrepeal nicht lief, bitte 1x Combofix anwenden. BITTE GENAU LESEN UND UMSETZEN, INSBESONDERE DEN PUNKT MIT DER UMBENENNUNG!! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern! Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken! Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ --> Nach PC-Absturz Trojaner msa.exe und weitere entdeckt |
31.08.2009, 21:39 | #7 |
| Nach PC-Absturz Trojaner msa.exe und weitere entdeckt Bin den Anweisungen genau gefolgt und hat auch einwandfrei funktioniert, hier der ComboFix Log: Code:
ATTFilter ComboFix 09-08-31.03 - y 31.08.2009 22:12.1.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1676 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Installer\18e143.msi c:\windows\Installer\1d433.msi c:\windows\Installer\9b438.msi c:\windows\system\WININETICMP32.drv c:\windows\system32\drivers\kbiwkmfdnospiq.sys c:\windows\system32\kbiwkmovmylyap.dll c:\windows\system32\kbiwkmqompbfjx.dll c:\windows\system32\kbiwkmsbivmkyr.dat c:\windows\system32\kbiwkmturubxjc.dat c:\windows\system32\msvcsv60.dll c:\windows\system32\slibeh.dll c:\windows\system32\slibree.dll c:\windows\system32\sslibfg.dll c:\windows\system32\sslibjy.dll c:\windows\system32\sslibkh.dll c:\windows\system32\ssolefw.dll c:\windows\system32\ssoleht.dll c:\windows\system32\ssolekuy.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_kbiwkmxevsyfdi ((((((((((((((((((((((( Dateien erstellt von 2009-07-28 bis 2009-08-31 )))))))))))))))))))))))))))))) . 2009-08-29 14:30 . 2009-08-29 14:37 -------- d-----w- C:\rsit 2009-08-29 14:22 . 2009-08-29 14:22 -------- d-----w- c:\programme\CCleaner 2009-08-29 13:43 . 2009-08-29 13:43 -------- d-----w- c:\windows\system32\XPSViewer 2009-08-29 13:43 . 2009-08-29 13:43 -------- d-----w- c:\programme\MSBuild 2009-08-29 13:43 . 2009-08-29 13:43 -------- d-----w- c:\programme\Reference Assemblies 2009-08-29 13:43 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-08-29 13:43 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-08-29 13:43 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-08-29 13:43 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll 2009-08-29 13:43 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-08-29 13:43 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-08-29 13:43 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-08-29 13:41 . 2009-08-29 13:41 -------- d-----w- c:\programme\MSXML 6.0 2009-08-29 13:13 . 2009-08-29 13:19 -------- d-----w- c:\windows\system32\CatRoot_bak 2009-08-28 21:37 . 2008-06-14 17:57 273024 -c----w- c:\windows\system32\dllcache\bthport.sys 2009-08-28 21:37 . 2008-06-14 17:57 273024 ------w- c:\windows\system32\drivers\bthport.sys 2009-08-28 18:01 . 2009-08-28 18:01 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-08-28 18:01 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-28 18:01 . 2009-08-28 18:01 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-28 18:01 . 2009-08-28 18:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-28 18:01 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-28 17:51 . 2009-08-28 17:51 -------- d-----w- c:\programme\Twin USB Vibration Gamepad 2009-08-17 20:26 . 2009-08-17 20:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Notepad++ 2009-08-17 20:26 . 2009-08-17 20:27 -------- d-----w- c:\programme\Notepad++ 2009-08-07 19:33 . 2009-08-07 19:33 -------- d-----w- c:\programme\NuGardt Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-29 14:24 . 2008-01-12 19:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-08-29 14:05 . 2002-12-31 12:00 80754 ----a-w- c:\windows\system32\perfc007.dat 2009-08-29 14:05 . 2002-12-31 12:00 451374 ----a-w- c:\windows\system32\perfh007.dat 2009-08-29 14:03 . 2007-10-13 00:21 21416 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-29 13:39 . 2009-08-29 13:39 -------- d-----w- c:\programme\MSXML 4.0 2009-08-28 23:09 . 2007-10-14 14:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Extensis 2009-08-28 17:51 . 2007-10-13 20:25 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-08-27 00:43 . 2008-01-16 15:28 16 ----a-w- c:\windows\msocreg32.dat 2009-08-20 22:58 . 2008-03-04 15:01 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-08-10 22:47 . 2008-03-29 23:54 66872 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-08-10 22:47 . 2008-03-29 23:42 -------- d-----w- c:\programme\Quake III Arena 2009-08-05 09:05 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-29 04:48 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-07-29 04:48 . 2002-12-31 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll 2009-07-19 20:51 . 2009-07-19 20:51 -------- d-----w- c:\programme\Activision 2009-07-17 18:56 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 00:18 . 2002-12-31 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll 2009-06-26 16:17 . 2002-12-31 12:00 665088 ----a-w- c:\windows\system32\wininet.dll 2009-06-26 16:16 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll 2009-06-25 18:34 . 2002-12-31 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll 2009-06-25 18:34 . 2002-12-31 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll 2009-06-25 18:34 . 2002-12-31 12:00 533504 ----a-w- c:\windows\system32\mqutil.dll 2009-06-25 18:34 . 2002-12-31 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll 2009-06-25 18:34 . 2002-12-31 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll 2009-06-25 18:34 . 2002-12-31 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll 2009-06-25 18:34 . 2002-12-31 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll 2009-06-25 18:34 . 2002-12-31 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll 2009-06-25 18:34 . 2002-12-31 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll 2009-06-25 18:34 . 2002-12-31 12:00 16896 ----a-w- c:\windows\system32\mqise.dll 2009-06-25 18:34 . 2002-12-31 12:00 138240 ----a-w- c:\windows\system32\mqad.dll 2009-06-25 18:34 . 2002-12-31 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll 2009-06-22 11:49 . 2002-12-31 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe 2009-06-22 11:49 . 2002-12-31 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe 2009-06-22 11:49 . 2002-12-31 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe 2009-06-22 11:48 . 2002-12-31 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys 2009-06-15 11:32 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe 2009-06-15 11:31 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe 2009-06-10 14:22 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 06:30 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-05 07:42 . 2007-10-12 23:02 655872 ----a-w- c:\windows\system32\mstscax.dll 2009-06-03 19:26 . 2002-12-31 12:00 1296384 ----a-w- c:\windows\system32\quartz.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008] "Acrobat Assistant 7.0"="c:\programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920] "JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864] "JMB36X Configure"="c:\windows\system32\JMRaidSetup.exe" [2006-10-30 1953792] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-14 16270848] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "midi2"=EMGA8U2K.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase 11.0.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Suitcase 11.0.lnk backup=c:\windows\pss\Suitcase 11.0.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "PnkBstrA"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Extensis\\Extensis Suitcase 11\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"= "c:\\Programme\\Autodesk\\Backburner\\monitor.exe"= "c:\\Programme\\Autodesk\\Backburner\\manager.exe"= "c:\\Programme\\Autodesk\\Backburner\\server.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\Quake III Arena\\quake3.exe"= "c:\\Programme\\The All-Seeing Eye\\eye.exe"= "c:\\Programme\\Teamspeak2_RC2\\TeamSpeak.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"= "f:\\incoming\\eMule0.49c\\emule.exe"= "c:\\Programme\\ircN\\system\\mirc.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\bin\\java.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8767:UDP"= 8767:UDP:Teamspeak "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [12.03.2008 11:55 11264] R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296] S2 EMGA8U2K;emagic AMT8 configuration node (USB);c:\windows\system32\drivers\EMGA8U2K.sys [16.01.2008 13:11 12532] S2 EmgicUsb;emagic USB kernel driver;c:\windows\system32\drivers\EMGICUSB.sys [16.01.2008 13:11 19076] S3 PciCon;PciCon;\??\i:\pcicon.sys --> i:\PciCon.sys [?] . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-WgaLogon - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyOverride = *.local IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm IE: Convert link target to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: {8038D0C3-1986-4A4A-8D2C-5D45CFA5F8DD} = 213.191.74.19,213.191.74.18 FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\u2yuna9b.default\ FF - plugin: c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-31 22:20 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\kbiwkmxevsyfdi] "imagepath"="\systemroot\system32\drivers\kbiwkmfdnospiq.sys" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-329068152-2052111302-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:06,07,36,07,3c,1e,1b,05,4e,a3,5d,e5,d5,49,fd,b1,4f,f2,95,6a,9a,0a,29, e2,3e,fc,17,92,b6,e0,99,92,c9,e1,ce,82,7d,7b,81,d0,1f,c1,57,84,57,99,b9,3e,\ "??"=hex:1e,a5,4f,02,85,16,43,8d,f1,eb,ba,85,2a,19,e3,33 [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\kbiwkmxevsyfdi] @DACL=(02 0000) "start"=dword:00000001 "type"=dword:00000001 "group"="file system" "imagepath"=expand:"\\systemroot\\system32\\drivers\\kbiwkmfdnospiq.sys" . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe c:\programme\Extensis\Extensis Suitcase 11\Bonjour\mDNSResponder.exe c:\programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe c:\windows\system32\rundll32.exe c:\progra~1\MICROS~3\rapimgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-31 22:25 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-31 20:25 Vor Suchlauf: 8 Verzeichnis(se), 36.204.634.112 Bytes frei Nach Suchlauf: 8 Verzeichnis(se), 36.011.745.280 Bytes frei 234 --- E O F --- 2009-08-30 22:02 |
Themen zu Nach PC-Absturz Trojaner msa.exe und weitere entdeckt |
.dll, bluescree, browser, c.exe, dateien, disabled.securitycenter, einstellungen, explorer, forum, helper, infizierte, infizierte dateien, log, löschen, löschen?, malware.trace, malwarebytes, malwarebytes' anti-malware, microsoft, net.net, neustart, programme, prozess, registrierungsschlüssel, registry, registry key, security, software, system, system32, taskmanager, temp, trojan.agent, trojan.downloader, trojan.tdss, trojaner, win xp |