Commerzbank Trojaner

Tetsuo_Shima · 30.06.2011, 10:10

Hallo zusammen,

ich habe heute festgestellt, dass ich mir irgendwie einen Trojaner gefangen habe, der mich nach dem Login bei der COmmerzbank auffordert 100 TANs einzugeben.

Dumm genug mir den Trojaner einzufangen war ich wohl, so dumm bin ich dann nun auch wieder nicht.

Ich habe gesehen, dass es hier schon einige Threads zu diesem Thema gibt, hege aber die Hoffnung, dass es aufgrund der Tatsache, dass diese Threads schon etwas älter sind, eine Möglichkeit besteht diesen Trojaner los zu werden, ohne meine komplette Festplatte leer zu räumen.

Sollte dem nicht so sein halte ich mich natürlich an die Anweisungen der vorangegangen Threads.

Vielen Dank für Eure Antworten im vorraus.

Gruß

Tetsuo_Shima

markusg · 30.06.2011, 10:38

hi
schaun wir uns erst mal das gerät an.

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Tetsuo_Shima · 30.06.2011, 11:58

Hallo,

erstmal danke für die super schnelle Antwort

Anbei die Reports OTL.txt und Extras.txt

Da die OTL.txt zu groß war,habe ich sie aufgeteilt.

Bin auf Eure Meinung gespannt und hoffe, dass ich eine vollständige Systemformatierung umgehen kann.

Gruß

Tetsuo_Shima

markusg · 30.06.2011, 14:26

achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-3432800156-3789349857-3756275056-1000..\Run: [R4B1ZAOPF5] C:\Users\skestern\AppData\Local\Temp\Rcc.exe (Sun Microsystems, Inc.)
O4 - HKU\S-1-5-21-3432800156-3789349857-3756275056-1000..\Run: [DVYHI42JUG] C:\Windows\Rdypia.exe (Sun Microsystems, Inc.)
PRC - C:\Users\skestern\AppData\Local\Temp\Rcd.exe (Sun Microsystems, Inc.)
PRC - C:\Users\skestern\AppData\Local\Temp\Rcc.exe (Sun Microsystems, Inc.)
PRC - C:\Windows\Rdypia.exe (Sun Microsystems, Inc.)

:Files
C:\Users\skestern\AppData\Local\Temp\Rcc.exe
C:\Windows\Rdypia.exe
C:\Users\skestern\AppData\Local\Temp\Rcd.exe
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Tetsuo_Shima · 30.06.2011, 15:06

Hallo,

hier zunächst mal der Text:

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3432800156-3789349857-3756275056-1000\Software\Microsoft\Windows\CurrentVersion\Run\\R4B1ZAOPF5 deleted successfully.
C:\Users\skestern\AppData\Local\Temp\Rcc.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-3432800156-3789349857-3756275056-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DVYHI42JUG deleted successfully.
C:\Windows\Rdypia.exe moved successfully.
No active process named Rcd.exe was found!
No active process named Rcc.exe was found!
No active process named Rdypia.exe was found!
========== FILES ==========
File\Folder C:\Users\skestern\AppData\Local\Temp\Rcc.exe not found.
File\Folder C:\Windows\Rdypia.exe not found.
C:\Users\skestern\AppData\Local\Temp\Rcd.exe moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 56466 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

User: skestern
->Flash cache emptied: 375920 bytes

Total Flash Files Cleaned = 0,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: skestern
->Temp folder emptied: 48795139 bytes
->Temporary Internet Files folder emptied: 521805021 bytes
->Java cache emptied: 14489017 bytes
->FireFox cache emptied: 56253246 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 93506 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 612,00 mb

OTL by OldTimer - Version 3.2.24.2 log created on 06302011_154032

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\etilqs_I1ABUttJgiahkbrJzrIy not found!
File\Folder C:\Windows\temp\etilqs_vFr2CsU1kY4NPBIP3Mh6 not found!
File\Folder C:\Windows\temp\etilqs_ZFGn9XWFaayMStkHIkWt not found!

Registry entries deleted on Reboot...

Die anderen Dateien werden gleich hochgeladen

markusg · 30.06.2011, 15:12

danke
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Tetsuo_Shima · 30.06.2011, 15:29

Hallo,

und hier der combofix.log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-06-30.01 - skestern 30.06.2011  16:20:44.1.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3067.1976 [GMT 2:00]
ausgeführt von:: c:\users\skestern\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Recycle.Bin
c:\recycle.bin\config.bin
c:\recycle.bin\Recycle.Bin.exe
c:\users\skestern\AppData\Roaming\Adobe\plugs
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc104.exe
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc194.exe
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc205.exe
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc2148024.txt
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc2148773.txt
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc27.exe
c:\users\skestern\AppData\Roaming\Adobe\shed
c:\users\skestern\AppData\Roaming\Adobe\shed\thr1.chm
c:\windows\IsUn0407.exe
c:\windows\security\Database\tmp.edb
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-28 bis 2011-06-30  ))))))))))))))))))))))))))))))
.
.
2011-06-30 14:25 . 2011-06-30 14:25	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-06-30 14:25 . 2011-06-30 14:26	--------	d-----w-	c:\users\skestern\AppData\Local\temp
2011-06-30 14:25 . 2011-06-30 14:25	--------	d-----w-	c:\windows\ServiceProfiles\LocalService\AppData\Local\temp
2011-06-30 13:40 . 2011-06-30 14:08	--------	d-----w-	C:\_OTL
2011-06-30 06:55 . 2011-06-30 06:55	--------	d-----w-	c:\users\skestern\AppData\Local\{3DDB92C1-6F95-4470-923A-9D31FB435A77}
2011-06-29 06:14 . 2011-05-24 10:44	293376	----a-w-	c:\windows\system32\umpnpmgr.dll
2011-06-29 06:14 . 2011-05-04 04:34	1549312	----a-w-	c:\windows\system32\tquery.dll
2011-06-29 06:14 . 2011-05-04 04:32	666624	----a-w-	c:\windows\system32\mssvp.dll
2011-06-29 06:14 . 2011-05-04 04:32	337408	----a-w-	c:\windows\system32\mssph.dll
2011-06-29 06:14 . 2011-05-04 04:32	1401344	----a-w-	c:\windows\system32\mssrch.dll
2011-06-29 06:14 . 2011-05-04 04:28	86528	----a-w-	c:\windows\system32\SearchFilterHost.exe
2011-06-29 06:14 . 2011-05-04 04:28	427520	----a-w-	c:\windows\system32\SearchIndexer.exe
2011-06-29 06:14 . 2011-05-04 04:28	164352	----a-w-	c:\windows\system32\SearchProtocolHost.exe
2011-06-29 06:14 . 2011-05-04 04:32	197120	----a-w-	c:\windows\system32\mssphtb.dll
2011-06-29 06:14 . 2011-05-04 04:32	59392	----a-w-	c:\windows\system32\msscntrs.dll
2011-06-29 06:08 . 2011-06-29 06:08	--------	d-----w-	c:\users\skestern\AppData\Local\{E2B90084-BA89-4945-9DB1-94ECABF05FBE}
2011-06-28 07:17 . 2011-06-07 15:55	7074640	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E27308E4-176C-4683-B72A-8D7BA9BC612C}\mpengine.dll
2011-06-28 07:15 . 2011-06-28 07:15	--------	d-----w-	c:\users\skestern\AppData\Local\{53FB143E-F5FA-4108-9C55-7EE2F495CB82}
2011-06-27 06:39 . 2011-06-27 06:39	--------	d-----w-	c:\users\skestern\AppData\Local\{52EA677C-495B-426C-9D97-C7B2B6C52290}
2011-06-24 06:47 . 2011-06-24 06:47	--------	d-----w-	c:\users\skestern\AppData\Local\{8962A435-8320-4E0C-A685-86722EC8A14E}
2011-06-24 06:39 . 2011-06-24 06:39	--------	d-----w-	c:\users\skestern\AppData\Local\{A145EAAD-EE47-495A-8426-7428E60240D6}
2011-06-22 06:25 . 2010-01-01 08:00	2106216	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2011-06-22 06:25 . 2010-01-01 08:00	1998168	----a-w-	c:\program files\Mozilla Firefox\d3dx9_43.dll
2011-06-22 06:18 . 2011-06-22 06:19	--------	d-----w-	c:\users\skestern\AppData\Local\{AA5C9C50-BB95-42CC-8D14-8846CA4EFA04}
2011-06-21 06:38 . 2011-06-21 06:38	--------	d-----w-	c:\users\skestern\AppData\Local\{CAC50905-7AAD-4DC5-8C24-7F8CC5435A7C}
2011-06-20 06:44 . 2011-06-20 06:45	--------	d-----w-	c:\users\skestern\AppData\Local\{43EBF5A6-E9A9-4115-8B64-877A50AF6154}
2011-06-17 06:33 . 2011-06-17 06:33	--------	d-----w-	c:\users\skestern\AppData\Local\{758527DF-5E39-41D0-9E77-E61D6B3DEEB4}
2011-06-16 11:19 . 2011-06-16 11:19	--------	d-----w-	c:\program files\VideoLAN
2011-06-16 07:49 . 2011-04-25 15:29	141104	----a-w-	c:\program files\Internet Explorer\sqmapi.dll
2011-06-16 07:49 . 2011-04-22 23:25	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-06-16 07:49 . 2011-04-22 23:35	1797632	----a-w-	c:\windows\system32\jscript9.dll
2011-06-16 06:49 . 2011-04-29 02:46	311808	----a-w-	c:\windows\system32\drivers\srv.sys
2011-06-16 06:49 . 2011-04-29 02:46	310272	----a-w-	c:\windows\system32\drivers\srv2.sys
2011-06-16 06:49 . 2011-04-29 02:46	114688	----a-w-	c:\windows\system32\drivers\srvnet.sys
2011-06-16 06:49 . 2011-04-25 04:31	1290624	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-06-16 06:49 . 2011-04-25 02:18	338944	----a-w-	c:\windows\system32\drivers\afd.sys
2011-06-16 06:49 . 2011-02-25 05:34	571904	----a-w-	c:\windows\system32\oleaut32.dll
2011-06-16 06:49 . 2011-05-03 04:30	741376	----a-w-	c:\windows\system32\inetcomm.dll
2011-06-16 06:49 . 2011-04-27 02:17	223744	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2011-06-16 06:49 . 2011-04-27 02:17	96768	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2011-06-16 06:49 . 2011-04-27 02:17	123904	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-06-16 06:42 . 2011-06-16 06:42	--------	d-----w-	c:\users\skestern\AppData\Local\{BD88CC34-478C-4DDC-A032-66FD67E3A842}
2011-06-15 06:53 . 2011-06-15 06:53	--------	d-----w-	c:\users\skestern\AppData\Local\{460CC86B-D465-4AAF-9B64-7191DED1E015}
2011-06-14 12:50 . 2011-06-29 15:03	--------	d-----w-	c:\users\skestern\AppData\Roaming\DiskAid
2011-06-14 06:51 . 2011-06-14 06:51	--------	d-----w-	c:\users\skestern\AppData\Local\{25185978-03B7-43E5-B83D-B0AD6146FB6F}
2011-06-10 06:20 . 2011-06-10 06:20	--------	d-----w-	c:\users\skestern\AppData\Local\{7E2E6507-872C-401F-B315-4B0CA0D8FDFE}
2011-06-09 06:47 . 2011-06-09 06:47	--------	d-----w-	c:\users\skestern\AppData\Local\{D31FD582-12F3-4AD7-9213-CC23792958ED}
2011-06-08 06:31 . 2011-06-08 06:31	--------	d-----w-	c:\program files\iPod
2011-06-08 06:17 . 2011-06-08 06:17	--------	d-----w-	c:\users\skestern\AppData\Local\{ED30CBCD-6F50-42D2-8A74-096A2A17A8CE}
2011-06-07 15:17 . 2011-06-07 15:17	--------	d-----w-	c:\windows\system32\SPReview
2011-06-07 15:16 . 2011-06-07 15:16	--------	d-----w-	c:\windows\system32\EventProviders
2011-06-07 07:07 . 2010-11-20 12:29	520064	----a-w-	c:\windows\system32\mcupdate_GenuineIntel.dll
2011-06-07 07:06 . 2010-11-20 12:21	196608	----a-w-	c:\windows\system32\wwanconn.dll
2011-06-07 07:05 . 2010-11-20 12:18	323072	----a-w-	c:\windows\system32\drvstore.dll
2011-06-07 07:05 . 2010-11-20 12:18	257024	----a-w-	c:\windows\system32\dpx.dll
2011-06-07 06:40 . 2011-06-07 06:40	--------	d-----w-	c:\users\skestern\AppData\Local\{A14F687E-78B8-479F-9DE4-8A7328F859B9}
2011-06-06 06:41 . 2011-06-06 06:41	--------	d-----w-	c:\users\skestern\AppData\Local\{4D38FBF2-E829-48C8-A580-4336B21D8DEF}
2011-06-01 06:32 . 2011-06-01 06:33	--------	d-----w-	c:\users\skestern\AppData\Local\{4005E0D5-FB9F-42C2-8A7A-C1756AB73CF7}
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-16 06:42 . 2011-05-19 06:37	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-07 15:24 . 2009-07-14 02:05	152576	----a-w-	c:\windows\system32\msclmd.dll
2011-05-24 17:14 . 2010-01-30 15:31	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-05-10 15:51 . 2011-05-10 15:51	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2011-05-10 15:51 . 2011-05-10 15:51	161792	----a-w-	c:\windows\system32\msls31.dll
2011-05-10 15:51 . 2011-05-10 15:51	1126912	----a-w-	c:\windows\system32\wininet.dll
2011-05-10 15:51 . 2011-05-10 15:51	86528	----a-w-	c:\windows\system32\iesysprep.dll
2011-05-10 15:51 . 2011-05-10 15:51	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2011-05-10 15:51 . 2011-05-10 15:51	74752	----a-w-	c:\windows\system32\iesetup.dll
2011-05-10 15:51 . 2011-05-10 15:51	63488	----a-w-	c:\windows\system32\tdc.ocx
2011-05-10 15:51 . 2011-05-10 15:51	48640	----a-w-	c:\windows\system32\mshtmler.dll
2011-05-10 15:51 . 2011-05-10 15:51	420864	----a-w-	c:\windows\system32\vbscript.dll
2011-05-10 15:51 . 2011-05-10 15:51	367104	----a-w-	c:\windows\system32\html.iec
2011-05-10 15:51 . 2011-05-10 15:51	35840	----a-w-	c:\windows\system32\imgutil.dll
2011-05-10 15:51 . 2011-05-10 15:51	23552	----a-w-	c:\windows\system32\licmgr10.dll
2011-05-10 15:51 . 2011-05-10 15:51	152064	----a-w-	c:\windows\system32\wextract.exe
2011-05-10 15:51 . 2011-05-10 15:51	150528	----a-w-	c:\windows\system32\iexpress.exe
2011-05-10 15:51 . 2011-05-10 15:51	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2011-05-10 15:51 . 2011-05-10 15:51	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2011-05-10 15:51 . 2011-05-10 15:51	11776	----a-w-	c:\windows\system32\mshta.exe
2011-05-10 15:51 . 2011-05-10 15:51	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2011-05-10 15:51 . 2011-05-10 15:51	101888	----a-w-	c:\windows\system32\admparse.dll
2011-04-22 19:14 . 2011-05-25 06:45	27008	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2011-04-09 06:02 . 2011-05-11 06:27	3967872	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:02 . 2011-05-11 06:27	3912576	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-04-09 05:56 . 2011-05-12 13:29	123904	----a-w-	c:\windows\system32\poqexec.exe
2011-04-06 14:20 . 2011-04-06 14:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
2011-06-16 04:32 . 2011-03-24 07:28	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"HW_OPENEYE_OUC_Telekom Internet Manager"="c:\program files\Telekom\InternetManager_H\UpdateDog\ouc.exe" [2009-12-31 110592]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-08-24 1190920]
"PLFSetI"="c:\windows\PLFSetI.exe" [2008-07-29 200704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"FUFAXSTM"="c:\program files\Epson Software\FAX Utility\FUFAXSTM.exe" [2009-02-05 843776]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-01-12 669520]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"DataCardMonitor"="c:\program files\Telekom\InternetManager_H\DataCardMonitor.exe" [2011-02-22 253952]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2011-01-27 585728]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
.
c:\users\skestern\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
BUFFALO NAS Navigator2.lnk - c:\program files\BUFFALO\NASNAVI\NasNavi.exe [2010-1-26 1897952]
NAS Scheduler.lnk - c:\program files\BUFFALO\NASNAVI\nassche.exe [2011-3-7 206128]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
ISDN Guard.lnk - c:\program files\AGFEO\ISDN Guard\agfguard.exe [2010-2-11 159744]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-01-13 22:44	37888	----a-w-	c:\program files\Winamp\winampa.exe
.
R2 agfucapi;AGFEO ISDN PC-Adapter;c:\windows\system32\DRIVERS\AGFUCAPI.SYS [2007-08-21 268544]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 136176]
R3 ewsercd;Huawei DataCard USB Serial Port;c:\windows\system32\DRIVERS\ewsercd.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 136176]
R3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [2009-10-26 25088]
R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [2010-06-23 23040]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [2009-10-12 101120]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [x]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
S0 BMLoad;Bytemobile Boot Time Load Driver;c:\windows\system32\drivers\BMLoad.sys [2009-12-15 13184]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-01-30 691696]
S1 VWiFiFlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 agfwmp;AGFEO NDISWAN Miniport Driver;c:\windows\system32\DRIVERS\AGFWMP.sys [2003-07-18 70144]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 DCService.exe;DCService.exe;c:\programdata\DatacardService\DCService.exe [2010-08-19 229376]
S2 NasPmService;NAS PM Service;c:\program files\BUFFALO\NASNAVI\nassvc.exe [2009-05-15 251184]
S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [2010-09-16 80896]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 tksock;TK-Suite Server;c:\program files\AGFEO\Tk-Suite\tkserver\tksock.exe [2009-07-29 2067968]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2011-04-22 92592]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2009-05-18 119256]
S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2009-09-15 6114816]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-11-12 66664]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 winbondcir;Winbond IR Transceiver;c:\windows\system32\DRIVERS\winbondcir.sys [2007-03-28 43008]
S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
S3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [2009-07-14 20480]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-22 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-01-23 13:03]
.
2011-06-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 08:26]
.
2011-06-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 08:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hiergehtslos.de
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1 192.168.2.1
FF - ProfilePath - c:\users\skestern\AppData\Roaming\Mozilla\Firefox\Profiles\iu8e5vik.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-4E3E0230AEBB4E96 - c:\recycle.bin\Recycle.Bin.exe
AddRemove-AGFINSTALL - c:\windows\agfclean
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-06-30  16:27:57
ComboFix-quarantined-files.txt  2011-06-30 14:27
.
Vor Suchlauf: 14 Verzeichnis(se), 99.495.391.232 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 99.383.382.016 Bytes frei
.
- - End Of File - - FA839D0AA84A862D2294C4126ED6D623

--- --- ---

Gruß

Tetsuo_Shima

markusg · 30.06.2011, 15:38

was soll ich damit anfangen, das ist nur der kopf vom log

Tetsuo_Shima · 30.06.2011, 15:42

Seltsam ich sehe im Board in meinem Beitrag den Log in einem Fenster welches ich hoch und runter scrollen kann.
Hier der 2. Versuch:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-06-30.01 - skestern 30.06.2011  16:20:44.1.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3067.1976 [GMT 2:00]
ausgeführt von:: c:\users\skestern\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Recycle.Bin
c:\recycle.bin\config.bin
c:\recycle.bin\Recycle.Bin.exe
c:\users\skestern\AppData\Roaming\Adobe\plugs
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc104.exe
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc194.exe
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc205.exe
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc2148024.txt
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc2148773.txt
c:\users\skestern\AppData\Roaming\Adobe\plugs\mmc27.exe
c:\users\skestern\AppData\Roaming\Adobe\shed
c:\users\skestern\AppData\Roaming\Adobe\shed\thr1.chm
c:\windows\IsUn0407.exe
c:\windows\security\Database\tmp.edb
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-28 bis 2011-06-30  ))))))))))))))))))))))))))))))
.
.
2011-06-30 14:25 . 2011-06-30 14:25	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-06-30 14:25 . 2011-06-30 14:26	--------	d-----w-	c:\users\skestern\AppData\Local\temp
2011-06-30 14:25 . 2011-06-30 14:25	--------	d-----w-	c:\windows\ServiceProfiles\LocalService\AppData\Local\temp
2011-06-30 13:40 . 2011-06-30 14:08	--------	d-----w-	C:\_OTL
2011-06-30 06:55 . 2011-06-30 06:55	--------	d-----w-	c:\users\skestern\AppData\Local\{3DDB92C1-6F95-4470-923A-9D31FB435A77}
2011-06-29 06:14 . 2011-05-24 10:44	293376	----a-w-	c:\windows\system32\umpnpmgr.dll
2011-06-29 06:14 . 2011-05-04 04:34	1549312	----a-w-	c:\windows\system32\tquery.dll
2011-06-29 06:14 . 2011-05-04 04:32	666624	----a-w-	c:\windows\system32\mssvp.dll
2011-06-29 06:14 . 2011-05-04 04:32	337408	----a-w-	c:\windows\system32\mssph.dll
2011-06-29 06:14 . 2011-05-04 04:32	1401344	----a-w-	c:\windows\system32\mssrch.dll
2011-06-29 06:14 . 2011-05-04 04:28	86528	----a-w-	c:\windows\system32\SearchFilterHost.exe
2011-06-29 06:14 . 2011-05-04 04:28	427520	----a-w-	c:\windows\system32\SearchIndexer.exe
2011-06-29 06:14 . 2011-05-04 04:28	164352	----a-w-	c:\windows\system32\SearchProtocolHost.exe
2011-06-29 06:14 . 2011-05-04 04:32	197120	----a-w-	c:\windows\system32\mssphtb.dll
2011-06-29 06:14 . 2011-05-04 04:32	59392	----a-w-	c:\windows\system32\msscntrs.dll
2011-06-29 06:08 . 2011-06-29 06:08	--------	d-----w-	c:\users\skestern\AppData\Local\{E2B90084-BA89-4945-9DB1-94ECABF05FBE}
2011-06-28 07:17 . 2011-06-07 15:55	7074640	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E27308E4-176C-4683-B72A-8D7BA9BC612C}\mpengine.dll
2011-06-28 07:15 . 2011-06-28 07:15	--------	d-----w-	c:\users\skestern\AppData\Local\{53FB143E-F5FA-4108-9C55-7EE2F495CB82}
2011-06-27 06:39 . 2011-06-27 06:39	--------	d-----w-	c:\users\skestern\AppData\Local\{52EA677C-495B-426C-9D97-C7B2B6C52290}
2011-06-24 06:47 . 2011-06-24 06:47	--------	d-----w-	c:\users\skestern\AppData\Local\{8962A435-8320-4E0C-A685-86722EC8A14E}
2011-06-24 06:39 . 2011-06-24 06:39	--------	d-----w-	c:\users\skestern\AppData\Local\{A145EAAD-EE47-495A-8426-7428E60240D6}
2011-06-22 06:25 . 2010-01-01 08:00	2106216	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2011-06-22 06:25 . 2010-01-01 08:00	1998168	----a-w-	c:\program files\Mozilla Firefox\d3dx9_43.dll
2011-06-22 06:18 . 2011-06-22 06:19	--------	d-----w-	c:\users\skestern\AppData\Local\{AA5C9C50-BB95-42CC-8D14-8846CA4EFA04}
2011-06-21 06:38 . 2011-06-21 06:38	--------	d-----w-	c:\users\skestern\AppData\Local\{CAC50905-7AAD-4DC5-8C24-7F8CC5435A7C}
2011-06-20 06:44 . 2011-06-20 06:45	--------	d-----w-	c:\users\skestern\AppData\Local\{43EBF5A6-E9A9-4115-8B64-877A50AF6154}
2011-06-17 06:33 . 2011-06-17 06:33	--------	d-----w-	c:\users\skestern\AppData\Local\{758527DF-5E39-41D0-9E77-E61D6B3DEEB4}
2011-06-16 11:19 . 2011-06-16 11:19	--------	d-----w-	c:\program files\VideoLAN
2011-06-16 07:49 . 2011-04-25 15:29	141104	----a-w-	c:\program files\Internet Explorer\sqmapi.dll
2011-06-16 07:49 . 2011-04-22 23:25	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-06-16 07:49 . 2011-04-22 23:35	1797632	----a-w-	c:\windows\system32\jscript9.dll
2011-06-16 06:49 . 2011-04-29 02:46	311808	----a-w-	c:\windows\system32\drivers\srv.sys
2011-06-16 06:49 . 2011-04-29 02:46	310272	----a-w-	c:\windows\system32\drivers\srv2.sys
2011-06-16 06:49 . 2011-04-29 02:46	114688	----a-w-	c:\windows\system32\drivers\srvnet.sys
2011-06-16 06:49 . 2011-04-25 04:31	1290624	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-06-16 06:49 . 2011-04-25 02:18	338944	----a-w-	c:\windows\system32\drivers\afd.sys
2011-06-16 06:49 . 2011-02-25 05:34	571904	----a-w-	c:\windows\system32\oleaut32.dll
2011-06-16 06:49 . 2011-05-03 04:30	741376	----a-w-	c:\windows\system32\inetcomm.dll
2011-06-16 06:49 . 2011-04-27 02:17	223744	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2011-06-16 06:49 . 2011-04-27 02:17	96768	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2011-06-16 06:49 . 2011-04-27 02:17	123904	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-06-16 06:42 . 2011-06-16 06:42	--------	d-----w-	c:\users\skestern\AppData\Local\{BD88CC34-478C-4DDC-A032-66FD67E3A842}
2011-06-15 06:53 . 2011-06-15 06:53	--------	d-----w-	c:\users\skestern\AppData\Local\{460CC86B-D465-4AAF-9B64-7191DED1E015}
2011-06-14 12:50 . 2011-06-29 15:03	--------	d-----w-	c:\users\skestern\AppData\Roaming\DiskAid
2011-06-14 06:51 . 2011-06-14 06:51	--------	d-----w-	c:\users\skestern\AppData\Local\{25185978-03B7-43E5-B83D-B0AD6146FB6F}
2011-06-10 06:20 . 2011-06-10 06:20	--------	d-----w-	c:\users\skestern\AppData\Local\{7E2E6507-872C-401F-B315-4B0CA0D8FDFE}
2011-06-09 06:47 . 2011-06-09 06:47	--------	d-----w-	c:\users\skestern\AppData\Local\{D31FD582-12F3-4AD7-9213-CC23792958ED}
2011-06-08 06:31 . 2011-06-08 06:31	--------	d-----w-	c:\program files\iPod
2011-06-08 06:17 . 2011-06-08 06:17	--------	d-----w-	c:\users\skestern\AppData\Local\{ED30CBCD-6F50-42D2-8A74-096A2A17A8CE}
2011-06-07 15:17 . 2011-06-07 15:17	--------	d-----w-	c:\windows\system32\SPReview
2011-06-07 15:16 . 2011-06-07 15:16	--------	d-----w-	c:\windows\system32\EventProviders
2011-06-07 07:07 . 2010-11-20 12:29	520064	----a-w-	c:\windows\system32\mcupdate_GenuineIntel.dll
2011-06-07 07:06 . 2010-11-20 12:21	196608	----a-w-	c:\windows\system32\wwanconn.dll
2011-06-07 07:05 . 2010-11-20 12:18	323072	----a-w-	c:\windows\system32\drvstore.dll
2011-06-07 07:05 . 2010-11-20 12:18	257024	----a-w-	c:\windows\system32\dpx.dll
2011-06-07 06:40 . 2011-06-07 06:40	--------	d-----w-	c:\users\skestern\AppData\Local\{A14F687E-78B8-479F-9DE4-8A7328F859B9}
2011-06-06 06:41 . 2011-06-06 06:41	--------	d-----w-	c:\users\skestern\AppData\Local\{4D38FBF2-E829-48C8-A580-4336B21D8DEF}
2011-06-01 06:32 . 2011-06-01 06:33	--------	d-----w-	c:\users\skestern\AppData\Local\{4005E0D5-FB9F-42C2-8A7A-C1756AB73CF7}
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-16 06:42 . 2011-05-19 06:37	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-07 15:24 . 2009-07-14 02:05	152576	----a-w-	c:\windows\system32\msclmd.dll
2011-05-24 17:14 . 2010-01-30 15:31	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-05-10 15:51 . 2011-05-10 15:51	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2011-05-10 15:51 . 2011-05-10 15:51	161792	----a-w-	c:\windows\system32\msls31.dll
2011-05-10 15:51 . 2011-05-10 15:51	1126912	----a-w-	c:\windows\system32\wininet.dll
2011-05-10 15:51 . 2011-05-10 15:51	86528	----a-w-	c:\windows\system32\iesysprep.dll
2011-05-10 15:51 . 2011-05-10 15:51	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2011-05-10 15:51 . 2011-05-10 15:51	74752	----a-w-	c:\windows\system32\iesetup.dll
2011-05-10 15:51 . 2011-05-10 15:51	63488	----a-w-	c:\windows\system32\tdc.ocx
2011-05-10 15:51 . 2011-05-10 15:51	48640	----a-w-	c:\windows\system32\mshtmler.dll
2011-05-10 15:51 . 2011-05-10 15:51	420864	----a-w-	c:\windows\system32\vbscript.dll
2011-05-10 15:51 . 2011-05-10 15:51	367104	----a-w-	c:\windows\system32\html.iec
2011-05-10 15:51 . 2011-05-10 15:51	35840	----a-w-	c:\windows\system32\imgutil.dll
2011-05-10 15:51 . 2011-05-10 15:51	23552	----a-w-	c:\windows\system32\licmgr10.dll
2011-05-10 15:51 . 2011-05-10 15:51	152064	----a-w-	c:\windows\system32\wextract.exe
2011-05-10 15:51 . 2011-05-10 15:51	150528	----a-w-	c:\windows\system32\iexpress.exe
2011-05-10 15:51 . 2011-05-10 15:51	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2011-05-10 15:51 . 2011-05-10 15:51	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2011-05-10 15:51 . 2011-05-10 15:51	11776	----a-w-	c:\windows\system32\mshta.exe
2011-05-10 15:51 . 2011-05-10 15:51	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2011-05-10 15:51 . 2011-05-10 15:51	101888	----a-w-	c:\windows\system32\admparse.dll
2011-04-22 19:14 . 2011-05-25 06:45	27008	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2011-04-09 06:02 . 2011-05-11 06:27	3967872	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:02 . 2011-05-11 06:27	3912576	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-04-09 05:56 . 2011-05-12 13:29	123904	----a-w-	c:\windows\system32\poqexec.exe
2011-04-06 14:20 . 2011-04-06 14:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
2011-06-16 04:32 . 2011-03-24 07:28	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"HW_OPENEYE_OUC_Telekom Internet Manager"="c:\program files\Telekom\InternetManager_H\UpdateDog\ouc.exe" [2009-12-31 110592]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-08-24 1190920]
"PLFSetI"="c:\windows\PLFSetI.exe" [2008-07-29 200704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"FUFAXSTM"="c:\program files\Epson Software\FAX Utility\FUFAXSTM.exe" [2009-02-05 843776]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-01-12 669520]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"DataCardMonitor"="c:\program files\Telekom\InternetManager_H\DataCardMonitor.exe" [2011-02-22 253952]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2011-01-27 585728]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
.
c:\users\skestern\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
BUFFALO NAS Navigator2.lnk - c:\program files\BUFFALO\NASNAVI\NasNavi.exe [2010-1-26 1897952]
NAS Scheduler.lnk - c:\program files\BUFFALO\NASNAVI\nassche.exe [2011-3-7 206128]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
ISDN Guard.lnk - c:\program files\AGFEO\ISDN Guard\agfguard.exe [2010-2-11 159744]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-01-13 22:44	37888	----a-w-	c:\program files\Winamp\winampa.exe
.
R2 agfucapi;AGFEO ISDN PC-Adapter;c:\windows\system32\DRIVERS\AGFUCAPI.SYS [2007-08-21 268544]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 136176]
R3 ewsercd;Huawei DataCard USB Serial Port;c:\windows\system32\DRIVERS\ewsercd.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 136176]
R3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [2009-10-26 25088]
R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [2010-06-23 23040]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [2009-10-12 101120]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [x]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
S0 BMLoad;Bytemobile Boot Time Load Driver;c:\windows\system32\drivers\BMLoad.sys [2009-12-15 13184]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-01-30 691696]
S1 VWiFiFlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 agfwmp;AGFEO NDISWAN Miniport Driver;c:\windows\system32\DRIVERS\AGFWMP.sys [2003-07-18 70144]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 DCService.exe;DCService.exe;c:\programdata\DatacardService\DCService.exe [2010-08-19 229376]
S2 NasPmService;NAS PM Service;c:\program files\BUFFALO\NASNAVI\nassvc.exe [2009-05-15 251184]
S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [2010-09-16 80896]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 tksock;TK-Suite Server;c:\program files\AGFEO\Tk-Suite\tkserver\tksock.exe [2009-07-29 2067968]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2011-04-22 92592]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2009-05-18 119256]
S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2009-09-15 6114816]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-11-12 66664]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 winbondcir;Winbond IR Transceiver;c:\windows\system32\DRIVERS\winbondcir.sys [2007-03-28 43008]
S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
S3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [2009-07-14 20480]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-22 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-01-23 13:03]
.
2011-06-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 08:26]
.
2011-06-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-28 08:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hiergehtslos.de
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1 192.168.2.1
FF - ProfilePath - c:\users\skestern\AppData\Roaming\Mozilla\Firefox\Profiles\iu8e5vik.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-4E3E0230AEBB4E96 - c:\recycle.bin\Recycle.Bin.exe
AddRemove-AGFINSTALL - c:\windows\agfclean
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-06-30  16:27:57
ComboFix-quarantined-files.txt  2011-06-30 14:27
.
Vor Suchlauf: 14 Verzeichnis(se), 99.495.391.232 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 99.383.382.016 Bytes frei
.
- - End Of File - - FA839D0AA84A862D2294C4126ED6D623

--- --- ---

markusg · 30.06.2011, 15:45

hi, öffne computer, öffne c:
dort öffne qoobox, rechtsklick quarantain, mit winrar oder zip packen, hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

markusg · 30.06.2011, 16:01

also, auch wenn du das nicht gern hörst, der pc muss neu gemacht werden, du hast hier einige nette trojaner auf dem pc.
ein paar, die wohl für werbung etc gesorgt haben, um damit geld zu verdienen, und den spyeye, um fremde websites anzugreifen, und um deine bank daten abzugreifen.
der spyeye, und auch die andern, können weitere malware nachladen, deshalb ist nen format das sicherste.
1. daten sichern,
deaktiviere zuerst autorun, wähle eine der methoden
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de

sichere bilder, musik, dokumente etc.
2. pc formatieren, windows neu aufspielen.
falls du hilfe benötigst, sag bescheid.
3. zeige ich dir, wie du das system in zukunft wichtig absicherst, da muss man nämlich mehr tun, als nur ein av zu instalieren.
4. passwörter alle endern!

Tetsuo_Shima · 30.06.2011, 16:05

Hi,

auch wenn es mir in der Tat nicht gefällt vielen Dank für die Mühe und die schnelle Antwort.

Passwörter habe ich alle schon geändert, Bankzugang direkt heute morgen sperren lassen.

Für ein kleines 1 x 1 wie ich meinen PC absichere bin ich mehr als dankbar

Gruß

Tetsuo_Shima

markusg · 30.06.2011, 16:11

hi, die passwörter aber nicht vom dem befallenen system aus geendert, das wäre ziemlich sinnfrei :-)
1. sind die daten gesichert?
2. weist du denn, wie man formatiert oder nicht?
falls nein, nutzt du ne windows cd, recovery cd, oder recovery partition, falls letzteres, im handbuch nachschauen, oder mir den hersteller des geräts, und den typen nennen

Tetsuo_Shima · 30.06.2011, 16:19

Hi,

nein die Passwörter hab ich schon von einem anderen Rechner aus gesichert

Formatiert habe ich mein System schonmal, das sollte kein Problem darstellen, aber ich finde unter dem gpedit.msc die Funktion zum deaktivieren von Autorun nicht. Ich welches Unterverzeichnis muss ich, wenn ich in "Windows Komponenten" bin ?

Gruß und Dank

markusg · 30.06.2011, 16:22

hallo, wenn dus nicht findest, nimm ne andere methode, da ist doch noch einiges mehr beschrieben :-)

30.06.2011, 15:12	#6
markusg /// Malware-holic	Commerzbank Trojaner danke bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ --> Commerzbank Trojaner

30.06.2011, 15:38	#8
markusg /// Malware-holic	Commerzbank Trojaner was soll ich damit anfangen, das ist nur der kopf vom log __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Commerzbank Trojaner

Plagegeister aller Art und deren Bekämpfung: Commerzbank Trojaner