| |
| |||||||
Log-Analyse und Auswertung: 100 Tan Trojaner (Spyeye)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.10.2011, 17:26
| #1 |
 |  100 Tan Trojaner (Spyeye) Hallo, wie nach meiner Google-Recherche feststellen musste, habe ich mir anscheinend diesen 100-Tan-Trojaner eingefangen. WAS PASSIERTE Ich erhielt,nach dem aufrufen meiner Online-Banking-Seite, und nachdem ich meine Zugangsdaten eingab, die Aufforderung meine Tan's anzugeben. Habe mein PC sofort heruntergefahren, und vom Netz getrennt. Dann mit 2. Rechner schnell Passwörter geändert. Alles gut soweit. BISHER habe ich nur Antivir durchlaufen lassen. Spybot konnte ich gar nicht durchlaufen lassen da ich dem infizierten Rechner momentan nicht am Netz habe. RECHNER PLATT MACHEN KANN/WILL ICH NICHT Bin noch 7 monate im Ausland, und hoffe das ich den Trojaner mit eurer Hilfe entfernen kann. Habe dazu Eure Anweisungen gelesen, und die entsprechenden Log files angehängt. (Hinweis zu den Log files: Habe Otl 2 mal ausgeführt und beim 2. mal keine Extras.txt erhalten (soweit ich weiss normal) daher habe ich zunächst die 9 Tage ältere "Extras.txt" angehängt.) Hoffe ihr könnte mir helfen dieses Problem zu lösen. Mfg Lazar81 |
|
19.10.2011, 17:37
| #2 |
| /// Malware-holic   | 100 Tan Trojaner (Spyeye) hi,
__________________pc wieder ans netz, bitte. combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
__________________ |
|
19.10.2011, 20:00
| #3 |
| | 100 Tan Trojaner (Spyeye) Ok, danke
__________________hier nun die Log.txt: Combofix Logfile: Code:
ATTFilter ComboFix 11-10-19.04 - Administrator 19.10.2011 15:32:33.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1015.425 [GMT -3:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\_Setup.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\20110521190500.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\_Default.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\AxInterop.ImageEnXLibrary_1.9000.0.0_L_75236aeec3d51fd0_MSIL.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\CFToolkit_4.1.0.0_a87e673e9ecb6e8e_MSIL.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\DROPPED_20100101190241.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\DROPPED_20100101190244.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\DROPPED_20100101190312.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\FreeOCR_2.1.0.8_L_075a6c69191ec1db_x86.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\Interop.ImageLibrary_1.9000.0.0_L_8cdfa8b955dbb1c7_MSIL.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\Interop.PDFAX0717_7.17.0.0_L_3d5fa783dbb69c0f_MSIL.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Setup.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Setup.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Setup.ico
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml7B.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml7C.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml7D.tmp
C:\Recycle.Bin
c:\recycle.bin\458659FA69D588B
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system\Pncrt.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-09-19 bis 2011-10-19 ))))))))))))))))))))))))))))))
.
.
2071-07-25 13:13 . 2006-11-22 00:48 203576 ------w- c:\programme\Microsoft Games\Age of Empires III\autopatcher2.exe
2011-10-19 18:40 . 2011-10-19 18:40 -------- d-----w- c:\windows\system32\wbem\snmp
2011-10-19 18:40 . 2011-10-19 18:40 -------- d-----w- c:\windows\system32\xircom
2011-10-19 18:40 . 2011-10-19 18:40 -------- d-----w- c:\programme\microsoft frontpage
2011-10-19 13:35 . 2011-10-19 16:57 -------- d-----w- c:\programme\Spybot - Search & Destroy
2011-10-19 13:35 . 2011-10-19 13:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2011-10-19 13:06 . 2011-10-19 16:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2011-10-19 13:06 . 2011-10-19 13:06 -------- d-----w- c:\programme\Security Task Manager
2011-10-18 16:54 . 2011-10-18 16:54 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Zattoo
2011-10-18 16:53 . 2011-10-18 16:54 -------- d-----w- c:\programme\Zattoo4
2011-10-18 13:22 . 2011-10-18 13:23 -------- d-----w- c:\programme\Elaborate Bytes
2011-10-18 13:19 . 2011-10-18 13:19 -------- d-----w- c:\programme\AmoK DVD Shrinker
2011-10-13 17:53 . 2011-07-31 15:44 -------- d-----w- c:\programme\UFO Aftermath
2011-10-12 19:47 . 2011-10-12 19:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2011-10-12 19:24 . 2011-09-22 17:39 -------- d-----w- c:\programme\CENEGA
2011-10-12 19:21 . 2011-10-19 13:16 -------- d-----w- c:\windows\system32\NtmsData
2011-10-12 19:19 . 2011-10-12 19:19 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2011-10-12 19:18 . 2011-10-12 19:20 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-10-12 19:18 . 2011-10-12 19:20 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-10-12 19:18 . 2009-09-29 16:12 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2011-10-12 19:18 . 2009-09-29 16:12 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2011-10-12 19:18 . 2011-10-12 19:18 -------- d-----w- c:\programme\Avira
2011-10-12 19:18 . 2011-10-12 19:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-10-08 12:04 . 2011-10-08 12:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Nokia
2011-10-08 12:00 . 2011-10-08 12:03 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Deployment
2011-10-07 11:47 . 2002-03-19 08:29 14165 ------w- c:\windows\system32\drivers\Pclepci.sys
2011-10-07 11:44 . 2004-01-23 15:44 61440 ----a-w- c:\windows\system32\pclepim1.dll
2011-10-07 11:44 . 2004-01-23 15:44 49152 ----a-w- c:\windows\system32\PCLEGetGuid.dll
2011-10-07 11:42 . 2002-12-05 12:10 155648 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iuser.dll
2011-10-07 11:42 . 2002-12-02 13:22 5632 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe
2011-10-07 11:42 . 2002-12-02 11:33 57344 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll
2011-10-07 11:42 . 2002-12-02 11:33 237568 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iscript.dll
2011-10-07 11:42 . 2002-12-05 12:12 692224 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iKernel.dll
2011-10-07 11:42 . 2011-10-07 11:42 282756 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\setup.dll
2011-10-07 11:42 . 2011-10-07 11:42 163972 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iGdi.dll
2011-10-04 09:10 . 2011-10-04 09:10 -------- d-----w- c:\dokumente und einstellungen\Ralf\Anwendungsdaten\DDMSettings
2011-10-04 09:00 . 2011-10-06 22:56 -------- d-----w- c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
2011-10-03 21:19 . 2009-09-27 07:39 369152 ----a-w- c:\windows\system32\avisynth.dll
2011-10-03 21:19 . 2005-07-14 10:31 32256 ----a-w- c:\windows\system32\AVSredirect.dll
2011-10-03 21:19 . 2004-02-22 08:11 719872 ----a-w- c:\windows\system32\devil.dll
2011-10-03 21:19 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
2011-10-03 21:19 . 2011-10-03 21:19 -------- d-----w- c:\programme\AviSynth 2.5
2011-10-03 21:14 . 2011-10-03 21:15 -------- d-----w- c:\programme\eRightSoft
2011-09-27 17:07 . 2011-09-27 17:07 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DDMSettings
2011-09-27 16:59 . 2011-10-04 17:52 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2011-09-27 16:59 . 2010-07-12 18:36 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys
2011-09-27 16:59 . 2010-07-12 18:36 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2011-09-27 16:59 . 2010-07-12 18:36 133616 ------w- c:\windows\system32\pxafs.dll
2011-09-27 16:59 . 2010-07-12 18:36 126448 ------w- c:\windows\system32\pxinsi64.exe
2011-09-27 16:59 . 2010-07-12 18:36 123888 ------w- c:\windows\system32\pxcpyi64.exe
2011-09-27 16:58 . 2011-09-27 16:59 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2011-09-27 16:40 . 2011-09-27 16:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2011-09-21 08:25 . 2011-09-21 08:25 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ChessBase
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-08 19:08 . 2011-06-29 09:34 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-22 20:51 . 2011-07-22 20:51 94208 ----a-w- c:\windows\system32\dpl100.dll
2011-07-08 07:31 . 2011-10-12 19:47 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 10:06 163328 --sha-r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 31232 --sha-r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 216064 --sha-r- c:\windows\system32\nbDX.dll
2010-01-06 22:00 107520 --sha-r- c:\windows\system32\TAKDSDecoder.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-06-24 . E88631E21A9CACA06104802F9E915115 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-09-01 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-09-01 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-09-01 137752]
"PTHOSTTR"="c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-12-31 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-06-24 128512]
"IE8"="advpack.dll" [2009-06-24 128512]
.
c:\dokumente und einstellungen\Ralf\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2007-02-06 23:30 74240 ----a-r- c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin300.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin300.exe.lnk
backup=c:\windows\pss\TrayMin300.exe.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
2004-06-09 19:37 40960 ----a-w- c:\windows\VM_STI.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
2010-06-18 00:56 370176 ----a-w- c:\programme\FreePDF_XP\fpassist.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2011-08-04 12:34 1955208 ----a-w- c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAFWTaskbarApp]
2004-09-27 14:44 151552 ----a-w- c:\windows\system32\mafwTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 03:52 1695232 ------w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-12-03 19:46 14944136 ----a-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SparVoip]
2011-07-15 04:05 13836584 ----a-w- c:\programme\SparVoip.de\SparVoip\sparvoip.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-09-02 17:09 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Programme\\AOE\\age2_x1\\age2_x1.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\SparVoip.de\\SparVoip\\SparVoip.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\LogMeIn Hamachi\\hamachi-2-ui.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 pe3aj8qb;UFO AfterMath Environment Driver (pe3aj8qb);c:\windows\system32\drivers\pe3aj8qb.sys [29.03.2007 09:43 64896]
R0 pf2aj8qb;UFO AfterMath File System Driver (pf2aj8qb);c:\windows\system32\drivers\pf2aj8qb.sys [29.03.2007 09:42 83840]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.10.2011 16:18 136360]
R2 ASBroker;Anmeldesitzungsbroker;c:\windows\System32\svchost.exe -k Cognizance [31.12.2008 20:00 14336]
R2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe -k Cognizance [31.12.2008 20:00 14336]
R2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [04.08.2011 09:34 1361288]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [14.09.2006 11:55 88192]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [24.07.2007 03:21 41216]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2011 16:08 136176]
S2 pr2aj8qb;UFO AfterMath Drivers Auto Removal (pr2aj8qb);c:\windows\system32\pr2aj8qb.exe svc --> c:\windows\system32\pr2aj8qb.exe svc [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2011 16:08 136176]
S3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [03.10.2010 17:26 47360]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2011\RpcAgentSrv.exe [31.07.2011 13:01 93848]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [27.09.2010 10:30 16896]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [31.12.2008 20:00 14336]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [01.09.2010 17:36 691696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
WINRM REG_MULTI_SZ WINRM
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-08 19:08]
.
2011-10-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-08 19:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe"
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\exyw12iq.default\
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-DivXUpdate - c:\programme\DivX\DivX Update\DivXUpdate.exe
AddRemove-Port Royale_is1 - d:\programme\unins000.exe
AddRemove-{108A39BF-4ED1-4293-B11A-06BD521FB8F7} - c:\dokume~1\ALLUSE~1\ANWEND~1\TARMAI~1\{108A3~1\Setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-10-19 15:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1715567821-884357618-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d3,1f,0c,fa,dd,93,bd,41,81,cc,d6,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d3,1f,0c,fa,dd,93,bd,41,81,cc,d6,\
.
[HKEY_USERS\S-1-5-21-1715567821-884357618-1417001333-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c0,17,44,93,ce,d8,ca,d1,17,ab,4a,46,04,ed,5d,62,fe,eb,b5,62,1c,87,9b,
33,a6,1b,6b,7c,00,91,47,35,3d,e1,da,7e,5e,e0,22,2e,fa,23,b5,6a,4e,1a,32,82,\
"??"=hex:5d,77,cb,db,b2,83,c2,e4,0b,5d,c2,75,ea,4f,82,b4
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(988)
c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\programme\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\programme\Hewlett-Packard\IAM\bin\HPBrand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\HPBrand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\ItMsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\ASChnl.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItDAC.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItReports.DLL
c:\programme\Hewlett-Packard\IAM\Bin\BioAuth.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\BioAuth.dll
c:\programme\Hewlett-Packard\IAM\Bin\ASBIoAT.dll
c:\programme\Hewlett-Packard\IAM\Bin\ittal.dll
c:\programme\Hewlett-Packard\IAM\Bin\STEngine.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItVCClient.dll
c:\programme\Hewlett-Packard\IAM\Bin\AuthWiz.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\AuthWiz.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItVCard.dll
c:\windows\system32\xenroll.dll
c:\programme\Hewlett-Packard\IAM\Bin\NetAdmin.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\NetAdmin.dll
.
- - - - - - - > 'explorer.exe'(1944)
c:\windows\system32\APSHook.dll
c:\programme\Hewlett-Packard\IAM\bin\ItClient.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Hewlett-Packard\IAM\bin\asghost.exe
c:\windows\system32\agrsmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Synaptics\SynTP\SynTPEnh.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-19 15:47:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-10-19 18:47
.
Vor Suchlauf: 4.593.614.848 Bytes frei
Nach Suchlauf: 5.050.400.768 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut
.
- - End Of File - - 729E21D3AFCC22F334D9979E13B5D555
|
|
19.10.2011, 20:19
| #4 |
| /// Malware-holic | 100 Tan Trojaner (Spyeye) ich möchte aber drauf hinweisen, dass ich persönlich von diesem pc kein onlinebanking machen würde bis er neu aufgesetzt ist, ne 100 %ige sicherheit bekommst du einfach nicht mehr ohne format c: deinstaliere mal spybot, starte neu, das programm kann die reinigung behindern. lade den CCleaner standard: CCleaner - Standard falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.10.2011, 00:11
| #5 |
| | 100 Tan Trojaner (Spyeye) Also hier die Programmliste vom CCleaner. Muss gestehen das ich einige Programme die vielleicht zum System gehören nicht unbedngt kenne - bzw als unbekannt angegeben habe. Hoffe so gehts trotzdem |
|
20.10.2011, 00:18
| #6 |
| | 100 Tan Trojaner (Spyeye) hier die prog liste. Wenn ich unsicher war habe ich unbekannt geschrieben. hoffe so gehts Sorry kam jetzt 2x, mein Post wurde erst nicht angezeigt. |
|
20.10.2011, 12:21
| #7 |
| /// Malware-holic | 100 Tan Trojaner (Spyeye) sorry, befor ich mir die liste ansehe: malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
21.10.2011, 13:56
| #8 |
| | 100 Tan Trojaner (Spyeye) Ok habe alles so gemacht. |
|
21.10.2011, 14:03
| #9 |
| /// Malware-holic | 100 Tan Trojaner (Spyeye) gehe ich recht in der anname das dein windows illegal erworben ist
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
21.10.2011, 15:18
| #10 |
| | 100 Tan Trojaner (Spyeye) Hier die MWbytes Log datei |
|
21.10.2011, 15:34
| #11 |
| /// Malware-holic | 100 Tan Trojaner (Spyeye) ist das die antwort auf meine frage?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
21.10.2011, 15:38
| #12 |
| | 100 Tan Trojaner (Spyeye) Nein, mein Windows ist legal. Jedefalls habe ich nur auf diesem PC diese XP Lizenz am laufen, und sie ist 100% legal. Aber ich muss dazu sagen, dass mir ein Freund den PC komlplett eingerichtet hat... mit nem XP von "keine Ahnung woher". Ich sollte meinen XP Code ändern, und das habe ich auch gemacht. Ich habe mich dabei nicht toll gefühlt, aber dadurch dass mein Code angenommen wurde, war es für mich ok. |
|
21.10.2011, 18:49
| #13 |
| /// Malware-holic | 100 Tan Trojaner (Spyeye) naja, diese version sieht mir nicht so legal aus, du hast hier nen tool was die windows gültigkeits abfrage blockiert. ich kann dir daher leider nicht weiter helfen :-( du solltest dir also deine windows version wieder drauf spielen, beim einrichten helfen wir dir hier auch.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
22.10.2011, 02:38
| #14 |
| | 100 Tan Trojaner (Spyeye) Na klasse, das ist natürlich meine Verantwortung... aber hoffe es leuchtet ein dass ich das nicht ins Forum gestellt hätte, wenn ich das gewusst hätte. Nur kurz noch... Der Pc war ein Geschenk, da mein Laptop kurz vor meinem vorletzten Abflug nach Südamerika abschmierte. Ich habe 1 Tag vor Abflug bekommen... und da war auch XP schon drauf. Aber ich habe dann meinen Registrierungsschlussen eingegeben, und war ganz happy dass das klappte. Dachte damit ist das meine Version (Jetzt ist mir auch klar warum die Msoft updates nicht funktionieren... das habe ich diverse male erfolglos versucht.) Kann ich denn mein XP einfach drüber spielen? Doof ist auch, das ich (glaube ich) auf meiner Xp cd nicht mal SP1 mit drauf habe, und runterladen ist echt total nervig/unmöglich mit meinem langsamen Internet hier. Beschämte Grüße |
|
22.10.2011, 02:52
| #15 |
| | 100 Tan Trojaner (Spyeye) ... habe gerade nochmal nachgeschaut... es gibt doch sogar extra von Microsoft ein Key aktualisierungstool. Das ist also in deren Sinne. Kann ich nicht dieses blockierungstool entfernen... und danach meine XP version von Microsoft prüfen lassen? |
|
| Themen zu 100 Tan Trojaner (Spyeye) |
| 100 tan, antivir, aufforderung, aufrufe, aufrufen, ausland, entfernen, erhalte, files, hinweis, hoffe, infizierte, infizierten, log, passwörter, platt, problem, rechner, schei, schnell, sofort, spybot, stelle, tan, trojaner, ältere |
Linear-Darstellung
