|
Plagegeister aller Art und deren Bekämpfung: PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS MailWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.01.2010, 23:41 | #1 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallo zusammen, ich hab ein großes Problem mit einem Trojanern TR/Fregee.H.9 und hoffe Ihr könnt mir helfen. Der befallene Rechner befindet sich in einem Netzwerk und sollte nicht über Format C wiederhergestellt werden. Angefangen hat das Problem mit einer UPS-Mail mit einem .exe Anhang. Die exe Datei wurde vom User doppelt geklickt und das war‘s natürlich. Seit diesem Zeitpunkt werden von AntiVir immer wieder Trojaner in die Quarantäne geschoben, jedoch nach jedem Neustart sind sie wieder da. Ich habe das AntiVir Remove Tool ohne Erfolg laufen lassen und über die Datenträgerbereinigung das System und die TEMP Ordner gesäubert. An dieser Stelle schon mal die von AntiVir gefudenen Trojaner: Diese befinden sich in den folgenden Verzeichnissen: TR/Fregee.H.9 --> C:\WINDOWS\system32\aqlb.hajo TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/Hans Mustermann/Lokale Einstellungen/Temp/B.tmp TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/8.tmp TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/9.tmp TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/A.tmp TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/7.tmp TR/Crypt.ZPACK.Gen --> C:\WINDOWS\CSC\d4\80000123 Quarantäne seit März 2009 Ein Check mit HijackThis ergab folgendes Ergebnis, doch leider kann ich nicht viel damit anfangen und benötige Eure Hilfe. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:26:45, on 29.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir fuer KEN!\sched.exe C:\Programme\AntiVir fuer KEN!\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\KEN!\KENCLI.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\Explorer.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\KEN!\kentbcli.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AntiVir fuer KEN!\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Canon Electronics\DR2010C\JobReader.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local> R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe aqlb.hjo lhoweid O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing) O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1482476501-343818398-839522115-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://192.168.115.1:3128/ken.html O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local O17 - HKLM\Software\..\Telephony: DomainName = ****.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 8984 bytes Zur Auswertung kann ich Euch noch das AntiVir LOG anbieten, ich hoffe Ihr habt damit genug Infos über das befallene Sytem – wenn nicht lasst es mich wissen. AntiVir für KEN! Erstellungsdatum der Reportdatei: Freitag, 29. Januar 2010 08:43 Es wird nach 1709001 Virenstämmen gesucht. Lizenznehmer: XXXXXXX Seriennummer: XXXXXXXXXX Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: XXXXXXXX Versionsinformationen: BUILD.DAT : 8.2.0.172 17732 Bytes 05.08.2009 15:45:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 10:20:41 AVSCAN.DLL : 8.1.4.0 48897 Bytes 13.08.2008 07:57:40 LUKE.DLL : 8.1.4.5 164097 Bytes 13.08.2008 07:57:44 LUKERES.DLL : 8.1.4.0 12545 Bytes 13.08.2008 07:57:44 ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:45:38 ANTIVIR1.VDF : 7.10.3.84 5532016 Bytes 26.01.2010 16:26:25 ANTIVIR2.VDF : 7.10.3.102 37280 Bytes 26.01.2010 16:26:25 ANTIVIR3.VDF : 7.10.3.115 127488 Bytes 28.01.2010 15:43:23 Engineversion : 8.2.1.154 AEVDF.DLL : 8.1.1.3 106868 Bytes 25.01.2010 07:00:47 AESCRIPT.DLL : 8.1.3.12 823675 Bytes 25.01.2010 07:00:45 AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 08:30:32 AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 09:45:44 AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 06:56:31 AEPACK.DLL : 8.2.0.5 422262 Bytes 14.01.2010 09:48:41 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 05:41:23 AEHEUR.DLL : 8.1.1.1 2322805 Bytes 28.01.2010 08:30:30 AEHELP.DLL : 8.1.10.0 237942 Bytes 14.01.2010 09:48:40 AEGEN.DLL : 8.1.1.85 369012 Bytes 28.01.2010 08:30:29 AEEMU.DLL : 8.1.1.0 393587 Bytes 05.10.2009 05:54:47 AECORE.DLL : 8.1.10.0 184695 Bytes 28.01.2010 08:30:28 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 11:03:25 AVWINLL.DLL : 1.0.0.12 15105 Bytes 13.08.2008 07:57:40 AVPREF.DLL : 8.0.2.0 38657 Bytes 13.08.2008 07:57:40 AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 05:44:49 AVREG.DLL : 8.0.0.1 33537 Bytes 13.08.2008 07:57:40 AVARKT.DLL : 1.0.0.23 307457 Bytes 19.05.2008 13:26:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 13.08.2008 07:57:40 SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.05.2008 13:26:20 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 13.08.2008 07:57:44 NETNT.DLL : 8.0.0.1 7937 Bytes 19.05.2008 13:26:20 RCIMAGE.DLL : 8.0.0.51 2363649 Bytes 13.08.2008 07:57:16 RCTEXT.DLL : 8.0.46.0 86273 Bytes 13.08.2008 07:57:16 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir fuer ken!\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: reparieren Sekundäre Aktion.................: löschen Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Dateierweiterungsliste verwenden Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Freitag, 29. Januar 2010 08:43 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OfficeLiveSignIn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IWatch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NCLAUNCH.EXe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'JobReader.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kentbcli.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winvnc4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kencli.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '44' Prozesse mit '44' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '57' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Freitag, 29. Januar 2010 09:00 Benötigte Zeit: 17:03 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6333 Verzeichnisse wurden überprüft 162707 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 162706 Dateien ohne Befall 1139 Archive wurden durchsucht 1 Warnungen 0 Hinweise Nach dem Neustart des Rechners erscheint ein Fenster mit der Meldung: RUNDLL "Fehler beim Laden von aqlb.hjo Das angegebene Modul wurde nicht gefunden" --> weiter mit Ok Für Eure Hilfe bin ich Euch sehr dankbar. ZTAndy Geändert von ZTAndy (29.01.2010 um 23:48 Uhr) |
30.01.2010, 14:36 | #2 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallo zusamen,
__________________sorry ich habe doch nicht alle Reglen beachtet z.B. die Links. Kann ich meinen Beitrag jetzt nochmal bearbeiten??? Ich bin wohl noch etwas unerfahren hier oder es war wohl etwas spät. Bitte schaut Euch doch mal die Zeile F2 aus dem Logfile von HijackThis an, hjo und rundll32.exe kommen mir vom Fenster, welches bein Start des PC erscheint, bekannt vor. Wie muss ich weiterverfahren??? ZTAndy |
01.02.2010, 15:56 | #3 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallöchen,
__________________ich habe soeben mit CCleaner, AntiMailware und HijackThis mein System bereinigt. Die Logfiles möchte ich Euch mit der Bitte diese auf Fehler zu überprüfen präsentieren, da mir dazu die Erfahrungen fehlen. Jedenfalls sieht es nach der Bereinigung schon wesentlich besser aus, es erscheinen beim starten des PCs keine Fenster bzw. Fehlermeldungen mehr. Nachdem alles so gut geklappt, habe ich den Quarantäne Ordner von AntiVir gesäubert. Dank der Infos des Forums bin ich ersteinmal guter Dinge und hoffe, dass sich doch noch jemand die Zeit nehmen kann, um sich die Logfiles anzusehen. Vielen Dank an die Initiatoren und die Mitglieder des Forums. ZTAndy Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:42:50, on 01.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir fuer KEN!\sched.exe C:\Programme\AntiVir fuer KEN!\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\KEN!\KENCLI.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\KEN!\kentbcli.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AntiVir fuer KEN!\avgnt.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Canon Electronics\DR2010C\JobReader.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe C:\Programme\FRITZ!\IWatch.exe C:\DCM321\MCCWIN\PRG\ZBASE32.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.n-tv.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.fujitsu-siemens.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.***.1:****;http=192.168.***.1:****;https=192.168.***.1:****;socks=192.168.***.1:*** R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local> R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://192.168.***.1:****/ken.html O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.local O17 - HKLM\Software\..\Telephony: DomainName = ***.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.local O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 8719 bytes ******************** Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3670 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 01.02.2010 14:40:30 mbam-log-2010-02-01 (14-40-30).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 201305 Laufzeit: 34 minute(s), 47 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
09.02.2010, 22:27 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallo und Zitat:
Mach bitte einen neuen Durchlauf Malwarebytes, aber aktualisiere das Tool vorherm, der letzte Scan ist schon über ne Woche her. Mach danach Logfiles mit RSIT und poste auch diese.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.02.2010, 07:52 | #5 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallo cosinus, ist wohl dumm gelaufen, sorry mein Fehler. Ich habe die Hoffnung auf eine Antwort schon fast aufgegeben. Super das Du Dich gemeldet hast. Also beim Versuch RSIT zu starten kommt die Meldung keine WIN32 Anwendung. Was muss ich tun um diese dennoch Ausführen zu können? ZTAndy |
12.02.2010, 15:16 | #6 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallo Arne, da ich RIST nicht zum laufen bekommen habe, lies ich CCleaner, Malwarebytes und HijackThis nocheinmal durchlaufen. Die aktuellen Logs sehen wie folgt aus: ***************************** Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3729 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 12.02.2010 14:30:08 mbam-log-2010-02-12 (14-30-08).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 205063 Laufzeit: 34 minute(s), 15 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ******************************* Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:36:52, on 12.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir fuer KEN!\sched.exe C:\Programme\AntiVir fuer KEN!\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\KEN!\KENCLI.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\KEN!\kentbcli.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AntiVir fuer KEN!\avgnt.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Canon Electronics\DR2010C\JobReader.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.n-tv.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.fujitsu-siemens.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.***.***:****;http=192.168.***.***:****;https=192.168.***.***:****;socks=192.168.***.***:**** R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local> R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://192.168.***.***:****/ken.html O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local O17 - HKLM\Software\..\Telephony: DomainName = ****.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 8751 bytes ************************ Ich hoffe das System ist jetzt sauber . Kann ich jetzt die Trojaner aus der Quarantäne von Malwarebytes löschen? Vielen Dank für Deine Hilfe. ZTAndy |
12.02.2010, 20:40 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hier ist ein Alternativdownload für RSIT, umbenannt in pluescheule => File-Upload.net - pluescheule.exe
__________________ Logfiles bitte immer in CODE-Tags posten |
12.02.2010, 21:31 | #8 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallo Arne, leider bin ich erst Montag wieder am infizieten PC. Derzeit sitz ich vor meinem heimatlichen PC, bei dem aber die selbe Fehlermeldung beim starten von RSIT kommt. Ich habe also die pluescheule runtergeladen und am Heim PC ausprobiert, aber es erscheint nach dem Start von pluescheule gleiche Fehlermeldung wie beim Start von RSIT. Mein Heim PC läuft mit Vista und der infizierte Rechner mit XP, vieleicht läuft ja pluescheule mit XP? Wie sehen den die Logs aus, ist da etwas auffällig? Gruß von ZTAndy |
12.02.2010, 21:44 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Die anderen Logs sind unauffällig, ich hätte da was schon zu geschrieben wenn dem nicht so gewesen wäre.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.02.2010, 22:06 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS MailZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
12.02.2010, 22:09 | #12 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Mit der umbenannen Version hat es leider auch nicht geklappt. |
12.02.2010, 22:12 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Ok, dann probier bitte ein Log mit CF zu erstellen, denn normal ist das nicht mit RSIT: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
12.02.2010, 23:53 | #14 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallo Arne, hat ein bißchen gedauert, ich habe mich noch belesen. Ich habe ComboFix über mein Home PC laufen lassen. Bitte beachte das dies nicht der PC ist auf dem der Trojaner nach der UPS Mail ist, denn an den bin ich erst am Montag wieder. Es wäre schön wenn Du Dir das File trotzdem ansehen könntest. Danke ZT Andy Das Log sieht wie folgt aus: ******************************* ComboFix 10-02-12.01 - Adimin 12.02.2010 23:10:59.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2045.1316 [GMT 1:00] ausgeführt von:: c:\users\****\Desktop\cofi.exe SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-1368608642-481299647-525511453-500 c:\$recycle.bin\S-1-5-21-2746829249-1397996071-2328483255-500 C:\uninstall.exe c:\users\****\AppData\Roaming\inst.exe D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2010-01-12 bis 2010-02-12 )))))))))))))))))))))))))))))) . 2010-02-12 22:16 . 2010-02-12 22:16 -------- d-----w- c:\users\****\AppData\Local\temp 2010-02-03 20:50 . 2010-02-03 20:50 -------- d-----w- c:\program files\NovaCHRON 2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes 2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes 2010-01-31 22:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\programdata\Malwarebytes 2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-01-31 22:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-31 21:27 . 2010-01-31 21:27 -------- d-----w- c:\program files\CCleaner 2010-01-27 22:11 . 2010-01-27 22:11 -------- d-----w- c:\program files\Trend Micro 2010-01-24 01:14 . 2010-01-24 01:14 -------- d-----w- c:\users\****\AppData\Local\Apple Computer 2010-01-24 00:46 . 2010-01-24 00:46 -------- d-----w- c:\program files\QuickTime 2010-01-24 00:46 . 2010-01-24 00:46 -------- d-----w- c:\programdata\Apple Computer 2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\program files\Common Files\Apple 2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\users\****\AppData\Local\Apple 2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\program files\Apple Software Update 2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\programdata\Apple 2010-01-14 20:57 . 2010-01-14 20:57 1273592 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-01-14 20:17 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll 2010-01-14 20:17 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-12 06:32 . 2006-11-02 15:33 618442 ----a-w- c:\windows\system32\perfh007.dat 2010-02-12 06:32 . 2006-11-02 15:33 122648 ----a-w- c:\windows\system32\perfc007.dat 2010-02-10 21:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-01-16 15:37 . 2007-05-28 17:52 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs 2010-01-14 10:12 . 2009-10-02 19:26 181120 ------w- c:\windows\system32\MpSigStub.exe 2010-01-02 06:38 . 2010-01-21 19:15 916480 ----a-w- c:\windows\system32\wininet.dll 2010-01-02 06:32 . 2010-01-21 19:15 109056 ----a-w- c:\windows\system32\iesysprep.dll 2010-01-02 06:32 . 2010-01-21 19:15 71680 ----a-w- c:\windows\system32\iesetup.dll 2010-01-02 04:57 . 2010-01-21 19:15 133632 ----a-w- c:\windows\system32\ieUnatt.exe 2009-12-29 21:33 . 2009-12-29 21:21 -------- d-----w- c:\program files\Elaborate Bytes 2009-12-17 22:25 . 2009-12-17 22:25 26024 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys 2009-12-17 06:54 . 2009-12-17 06:54 57344 ----a-w- c:\windows\NCServMan.exe 2009-12-13 17:06 . 2007-11-02 21:07 84304 ----a-w- c:\users\Conny\AppData\Local\GDIPFONTCACHEV1.DAT 2009-12-11 11:43 . 2010-02-09 20:49 302080 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-11 11:43 . 2010-02-09 20:49 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys 2009-12-08 20:01 . 2010-02-09 20:49 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys 2009-12-08 20:01 . 2010-02-09 20:49 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe 2009-12-08 20:01 . 2010-02-09 20:49 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe 2009-12-08 18:32 . 2009-07-26 20:16 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-08 17:26 . 2010-02-09 20:49 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys 2009-12-04 20:06 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat 2009-12-04 18:30 . 2010-02-09 20:49 12288 ----a-w- c:\windows\system32\tsbyuv.dll 2009-12-04 18:29 . 2010-02-09 20:49 1314816 ----a-w- c:\windows\system32\quartz.dll 2009-12-04 18:28 . 2010-02-09 20:49 22528 ----a-w- c:\windows\system32\msyuv.dll 2009-12-04 18:28 . 2010-02-09 20:49 31744 ----a-w- c:\windows\system32\msvidc32.dll 2009-12-04 18:28 . 2010-02-09 20:49 123904 ----a-w- c:\windows\system32\msvfw32.dll 2009-12-04 18:28 . 2010-02-09 20:49 13312 ----a-w- c:\windows\system32\msrle32.dll 2009-12-04 18:28 . 2010-02-09 20:49 82944 ----a-w- c:\windows\system32\mciavi32.dll 2009-12-04 18:28 . 2010-02-09 20:49 50176 ----a-w- c:\windows\system32\iyuv_32.dll 2009-12-04 18:27 . 2010-02-09 20:49 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-12-04 15:56 . 2010-02-09 20:49 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys 2009-12-04 15:56 . 2010-02-09 20:49 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 90112] "RtHDVCpl"="RtHDVCpl.exe" [2006-11-20 4018176] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-09 1025320] "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-10-09 102400] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832] "LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984] "TrayServer"="c:\program files\MAGIX\Filme_auf_DVD_7\TrayServer.exe" [2008-01-30 90112] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792] c:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusOverride"=dword:00000001 "VistaSp2"=hex(b):d6,44,29,d9,81,73,ca,01 R0 O2MDRDR;O2MDRDR;c:\windows\System32\drivers\o2media.sys [20.11.2006 15:14 38400] R0 O2SDRDR;O2SDRDR;c:\windows\System32\drivers\o2sd.sys [17.11.2006 13:58 31360] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [26.07.2009 21:16 108289] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [21.11.2008 23:30 1527900] S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [21.11.2008 23:31 544768] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 LSP: c:\windows\system32\wpclsp.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe AddRemove-dm Fotowelt - C:\uninstall.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-02-12 23:16 Windows 6.0.6002 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . Zeit der Fertigstellung: 2010-02-12 23:19:16 ComboFix-quarantined-files.txt 2010-02-12 22:19 Vor Suchlauf: 10 Verzeichnis(se), 55.447.633.920 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 55.393.054.720 Bytes frei - - End Of File - - 69640AA1C2196F3E0BDAB22A35DFEBAD |
26.02.2010, 17:35 | #15 |
| PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail Hallo Arne, ich konnte mich leider nicht zeitiger um den PC kümmern, da ich auswärtig tätig war. Ich habe jetzt jedenfalls die ganze Prozedur mit CCleaner, Malwarebytes und auch eine Log Datei mit Combofix erstellt. Beim Starten von Combofix wurde mir mitgeteilt, das AntiVir noch aktiv sei obwohl ich es ausgeschaltet hatte. Die Wiederherstellungskonsole konnte auch nicht installiert werden, da KEN Klient von mir vorher geschlossen wurde. Nach dem Durchlauf von Combofix erschien die folgende Log Datei, bitte prüfe diese einmal. Vielen Dank ******************************************************** ComboFix 10-02-25.02 - **** 26.02.2010 16:47:32.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.247 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\cofi.exe AV: Avira AntiVir für KEN! *On-access scanning disabled* (Updated) {08C942C3-77DF-43BA-9A6A-580A1A3BC5BB} AV: Avira AntiVir für KEN! *On-access scanning disabled* (Updated) {820C989C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {804D9D7C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81ABA054-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81ACFA14-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81C15054-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81C4EB64-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81D27824-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81F6F554-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FD5C1C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FDCDDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FEF3D4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FF3DDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8200A97C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8201ABF4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8201D7DC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820238B4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8202B39C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82033C1C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8203D6DC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82041544-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820452A4-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204A5FC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204DC1C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204DDDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204F6DC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820539C4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8205CDDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82062A5C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820695E4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820747A4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82074C4C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82082C24-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8208347C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8209CB04-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A1DDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A477C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A77A4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820AB7D4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820AF98C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820B2C1C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820BF99C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820C6C1C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CBDDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CC7D4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CF72C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D164C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D38D4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D772C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820DB32C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820DFA8C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E216C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E751C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E98BC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EE23C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EE60C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EEC34-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EFA5C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F4A34-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F53D4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F5A6C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F6A8C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F7DDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F9BF4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82103514-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821046AC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82104914-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210628C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210749C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82107594-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210B384-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210B5BC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82111CB4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821137A4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821198CC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8214ACE4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8214E45C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82156384-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821686E4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82168DDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8216965C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8217E6CC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218778C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218A4A4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218FDDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821A3A5C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821CC8BC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821DC4FC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821E16DC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82209054-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82217924-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822813C4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8229CB64-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8229D9A4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822A07D4-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822A332C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822AD64C-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822AFDDC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822B0964-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822B28CC-FFA4-00DE-0D24-347CA8A3377C} AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8236EDDC-FFA4-00DE-0D24-347CA8A3377C} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-182580060-2540569008-1561780678-500 c:\windows\srchasst\nls302en.lex c:\windows\system32\drivers\FSC__PI__SCENIC W__FUJITSU SIEMENS_D1567__Version 5.00 R2.13.1567.01_PTLTD - 50000_5.00 R2.13.1567.01 __NVIDIA GeForce FX 5200 .MRK c:\windows\system32\setup.ini c:\windows\system32\test.ttt c:\windows\system32\Thumbs.db c:\windows\system32\tmp.reg . ((((((((((((((((((((((( Dateien erstellt von 2010-01-26 bis 2010-02-26 )))))))))))))))))))))))))))))) . 2010-02-12 12:29 . 2010-02-12 12:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.****\Anwendungsdaten\Malwarebytes 2010-02-01 06:36 . 2010-02-01 06:36 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes 2010-02-01 06:36 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-01 06:35 . 2010-02-01 06:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-02-01 06:35 . 2010-02-01 06:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-02-01 06:35 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-01 06:23 . 2010-02-01 06:23 -------- d-----w- c:\programme\CCleaner . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-26 15:58 . 2006-10-26 07:11 -------- d-----w- c:\programme\AntiVir fuer KEN! 2010-02-26 15:58 . 2006-10-26 07:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir fuer KEN! 2010-02-26 15:51 . 2005-08-24 14:35 12 ----a-w- c:\windows\bthservsdp.dat 2010-02-25 07:10 . 2004-12-03 11:17 -------- d-----w- c:\programme\FRITZ! 2010-02-12 13:42 . 2007-01-26 08:57 230632 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\mdb.bin 2010-02-09 07:05 . 2007-09-04 15:17 -------- d-----w- c:\programme\Google 2010-02-01 06:25 . 2009-01-26 15:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-11-07 09:43 . 2007-11-07 09:42 2293712 ----a-w- c:\programme\FLV PlayerFCSetup.exe 2007-11-07 09:41 . 2007-11-07 09:41 3928264 ----a-w- c:\programme\FLV PlayerRCATSetup.exe 2007-11-07 09:39 . 2007-11-07 09:39 411248 ----a-w- c:\programme\FLV PlayerRCSetup.exe 2005-01-24 12:03 . 2005-01-24 12:03 56 --sh--r- c:\windows\system32\F8295F8C0C.sys 2005-01-24 12:03 . 2005-01-24 12:03 1682 --sha-w- c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "NCLaunch"="c:\windows\NCLAUNCH.EXe" [2005-12-13 40960] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-07 68856] "Device Detection"="c:\programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe" [2006-10-26 102400] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-08-02 4493312] "nwiz"="nwiz.exe" [2004-08-02 917504] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-08-02 86016] "zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968] "KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-07-25 275760] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "avgnt"="c:\programme\AntiVir fuer KEN!\avgnt.exe" [2009-08-23 266754] "Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944] "DR2010CJobReader"="c:\programme\Canon Electronics\DR2010C\JobReader.exe" [2008-02-01 319488] "CANON DR2010C SVC"="DR201SVC.dll" [2008-04-11 131072] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2004-12-3 1331200] ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2004-12-3 229376] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANON DR2010C SVC] 2008-04-11 08:34 131072 ----a-w- c:\windows\system32\DR201SVC.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2008-06-10 03:27 144784 ----a-w- c:\programme\Java\jre1.6.0_07\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager] 2008-04-14 02:22 144384 ----a-w- c:\windows\system32\mobsync.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\KEN!\\kentbcli.exe"= "c:\\DCM321\\MCCWIN\\PRG\\ZBASE32.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 02:14 4828] R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [03.12.2004 17:40 59520] R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [03.12.2004 12:14 173360] R2 ndc;AVM KEN CAPI;c:\windows\system32\drivers\ndc.sys [03.12.2004 12:14 63088] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [27.01.2009 09:18 37568] R3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 15:06 185611] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [31.07.2009 09:51 133104] S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer;c:\windows\system32\drivers\ADM8511.SYS [27.01.2009 08:05 20160] S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\drivers\TwkUsb2K.sys [10.09.2004 02:06 35336] S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [27.01.2009 09:18 444416] . Inhalt des "geplante Tasks" Ordners 2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-07-31 08:51] 2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-07-31 08:51] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.n-tv.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = hxxp://www.fujitsu-siemens.de/ uInternet Settings,ProxyOverride = localhost;<local> uInternet Settings,ProxyServer = ftp=192.168.***.***:****;http=192.168.***.***:****;https=192.168.***.***:****;socks=192.168.***.***:**** uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . - - - - Entfernte verwaiste Registrierungseinträge - - - - URLSearchHooks-{1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) Toolbar-{1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) WebBrowser-{1392B8D2-5C05-419F-A8F6-B9F15A596612} - (no file) MSConfigStartUp-cookw - c:\progra~1\GEMEIN~1\SCHUTZ~1\cookw.exe MSConfigStartUp-Framework Windows - frmwrk32.exe MSConfigStartUp-InstallProgram - c:\dokumente und einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XXTVNHRQ\setup_227_509_[1].exe MSConfigStartUp-InstRpro - c:\windows\temp\pistart.exe MSConfigStartUp-RestoreIT! - c:\programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-26 16:58 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*] "7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2820) c:\programme\Logitech\MouseWare\System\LgWndHk.dll c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCI10.DLL c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\1031\OWCI11.DLL c:\programme\Logitech\iTouch\iTchHk.dll c:\programme\Windows Media Player\wmpband.dll c:\windows\system32\msls31.dll c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\SCardSvr.exe c:\programme\AntiVir fuer KEN!\sched.exe c:\programme\AntiVir fuer KEN!\avguard.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\nvsvc32.exe c:\programme\RealVNC\VNC4\WinVNC4.exe c:\programme\Windows Media Player\WMPNetwk.exe c:\programme\Canon\CAL\CALMAIN.exe c:\programme\Logitech\MouseWare\system\em_exec.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-02-26 17:01:51 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-02-26 16:01 Vor Suchlauf: 9 Verzeichnis(se), 135.688.192.000 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 135.650.983.936 Bytes frei - - End Of File - - 898DB83CB088D34FD62D41AABC789F40 |
Themen zu PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail |
0 bytes, antivir, aqlb.hjo, avira, bho, canon, excel, exe datei, fehler, fritz!, google, gupdate, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, netzwerk, nicht gefunden, nt.dll, object, pc infiziert, pop-up-blocker, problem, prozesse, registry, rundll, software, suchlauf, system, temp ordner, trojaner, trojaner tr/fregee.h.9, ups-mail, verweise, virus, virus gefunden, warnung, windows, windows xp, wuauclt.exe |