| |
| |||||||
Log-Analyse und Auswertung: Bundespolizei TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.10.2011, 16:10
| #1 |
 |  Bundespolizei Trojaner Diesmal habe ich den Rechner von einem Freund hier, der mit dem Teil befallen ist. Anbei die OTL / Extras als zip. Bitte um Hilfe mit der Fix Datei. Danke |
|
21.10.2011, 18:45
| #2 |
| /// Malware-holic   | Bundespolizei Trojaner auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:
__________________Ersetze XXX durch Benutzernamen. Code:
ATTFilter :OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mahmud.exe) - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mahmud.exe (Radialpoint Inc.)
:Files
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mahmud.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. folge dem link, und lade das archiv im upload channel hoch http://www.trojaner-board.de/54791-a...ner-board.html
__________________ |
|
22.10.2011, 08:18
| #3 |
| | Bundespolizei Trojaner Danke für die schnelle Antwort.
__________________Habe alles gemacht, in dem movedfiles Ordner ist nur ein leerer Ordner und das logfile drin, deswegen poste ich das mal gleich hier. Code:
ATTFilter ========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mahmud.exe deleted successfully.
File C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mahmud.exe (Radialpoint Inc.)
:Files
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mahmud.exe
:Commands not found.
OTLPE by OldTimer - Version 3.1.48.0 log created on 10212011_235801
Danke Luke |
|
22.10.2011, 11:34
| #4 |
| /// Malware-holic | Bundespolizei Trojaner hmm mein script wurde nicht richtig ausgeführt. lad dir mal otl neu runter http://filepony.de/download-otl/ achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
:Files
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mahmud.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
24.10.2011, 08:16
| #5 |
| | Bundespolizei Trojaner Mein Bekannter hat seinen Rechner erst mal wieder mitgenommen. Ich werde ihm sagen, dass er das noch mal machen soll und gebe dann bescheid. |
|
24.10.2011, 09:41
| #6 |
| | Bundespolizei Trojaner super, jetzt hat es funktioniert. hier das logfile All processes killed ========== OTL ========== ========== FILES ========== C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mahmud.exe moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User ->Flash cache emptied: 0 bytes User: xxx ->Flash cache emptied: 0 bytes User: LocalService User: NetworkService User: xadmin Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: xxx ->Temp folder emptied: 1754 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 4546938 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: xadmin %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 7049 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 4,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 10242011_102733 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
24.10.2011, 12:45
| #7 |
| /// Malware-holic | Bundespolizei Trojaner wieso hatte schon wer gesagt wir währen fertig? wo ist der upload um den ich gebeten hatte?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
25.10.2011, 12:27
| #8 |
| | Bundespolizei Trojaner sorry. Datei ist jetzt hochgeladen. |
|
25.10.2011, 12:29
| #9 |
| /// Malware-holic | Bundespolizei Trojaner ok, weiter gehts. combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
26.10.2011, 13:06
| #10 |
| | Bundespolizei Trojaner Hi, scheinbar gibt es da ein Problem. Der ComboFix startet und läuft auch durch die Stufen, bis Stufe 50. Dann gibt es allerdings einen Blue Screen und der Rechner startet neu. Es wird also kein logfile erstellt. |
|
27.10.2011, 15:49
| #11 |
| /// Malware-holic | Bundespolizei Trojaner versuchs mal im abgesicherten modus ohne netzwerk, sollte bei pc start mit f8 zu erreichen sein.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
28.10.2011, 15:50
| #12 |
| | Bundespolizei Trojaner im abgesicherten modus hat der rechner auch einen neustart nach den Stufen gemacht. Nach dem Hochfahren hat er das Programm weiter ausgeführt, ist dann allerdings kurz vor Schluss wieder mit einem Blue Screen ausgestiegen. Auf C ist aber der Ordner ComboFix und dieser enthält auch eine ComboFix.txt. Ich hoffe, das ist das richtige File. Code:
ATTFilter ComboFix 11-10-26.03 - xxx 28.10.2011 16:26:57.4.2 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2732 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\1.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\a.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\b.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\c.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\d.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\e.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\f.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\g.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\h.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\i.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\J.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\k.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\l.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\m.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\mru.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\n.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\o.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\p.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\q.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\r.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\s.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\t.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\u.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\v.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\w.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\x.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\y.xml
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong\Data\z.xml
C:\Programme\INSTALL.LOG
C:\Programme\UNWISE.EXE
C:\Recycle.Bin
C:\Recycle.Bin\config.bin
((((((((((((((((((((((( Dateien erstellt von 2011-09-28 bis 2011-10-28 ))))))))))))))))))))))))))))))
2011-10-22 03:50:55 . 2011-10-26 11:50:03 -------- d-----w- C:\_OTL
2011-10-19 18:32:07 . 2011-10-19 18:32:08 -------- d-----w- C:\Programme\Free M4a to MP3 Converter
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
2009-01-27 01:34:38 . 2009-01-27 01:34:38 1044480 -c--a-w- C:\Programme\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34:38 . 2009-01-27 01:34:38 200704 -c--a-w- C:\Programme\mozilla firefox\plugins\ssldivx.dll
2010-08-11 11:36:01 . 2008-12-04 15:27:57 119808 ----a-w- C:\Programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2006-05-03 10:06:54 163328 --sh--r- C:\WINDOOF\system32\flvDX.dll
2007-02-21 11:47:16 31232 --sh--r- C:\WINDOOF\system32\msfDX.dll
2007-12-17 13:43:00 27648 --sh--w- C:\WINDOOF\system32\Smab0.dll
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
[7] 2008-04-14 02:22:13 . 671ABB33C712B1585A5BF7ADD36AD96E . 4096 . . [5.3.2600.5512 (xpsp.080413-0845)] . . C:\WINDOOF\ServicePackFiles\i386\ksuser.dll
[-] 2007-03-17 18:59:40 . 4721744CE11F385073F6F9F7831752C7 . 4096 . . [5.3.2600.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOOF\system32\ReinstallBackups\0004\DriverFiles\i386\ksuser.dll
[-] 2007-03-17 17:59:40 . 4721744CE11F385073F6F9F7831752C7 . 4096 . . [5.3.2600.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOOF\system32\ksuser.dll
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "C:\Programme\myBabylon_English\prxtbmyB0.dll" [2011-01-17 14:54:02 175912]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "C:\Programme\softonic-de3\prxtbsof0.dll" [2011-05-09 09:49:38 176936]
[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54:02 175912 ----a-w- C:\Programme\ConduitEngine\prxConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]
2011-01-17 14:54:02 175912 ----a-w- C:\Programme\myBabylon_English\prxtbmyB0.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2011-05-09 09:49:38 176936 ----a-w- C:\Programme\softonic-de3\prxtbsof0.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-05-21 10:17:46 1233288 ----a-w- C:\Programme\Ask.com\GenericAskToolbar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "C:\Programme\myBabylon_English\prxtbmyB0.dll" [2011-01-17 14:54:02 175912]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "C:\Programme\softonic-de3\prxtbsof0.dll" [2011-05-09 09:49:38 176936]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "C:\Programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 14:54:02 175912]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "C:\Programme\Ask.com\GenericAskToolbar.dll" [2010-05-21 10:17:46 1233288]
[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}"= "C:\Programme\myBabylon_English\prxtbmyB0.dll" [2011-01-17 14:54:02 175912]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "C:\Programme\softonic-de3\prxtbsof0.dll" [2011-05-09 09:49:38 176936]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "C:\Programme\Ask.com\GenericAskToolbar.dll" [2010-05-21 10:17:46 1233288]
[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-03 14:19:29 68856]
"ISUSPM"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 13:41:26 222128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 10:55:56 1103240]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 11:08:43 209153]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2008-02-20 06:57:52 118784]
"NvCplDaemon"="C:\WINDOOF\system32\NvCpl.dll" [2007-08-23 12:15:00 8478720]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-02-09 11:18:19 198160]
"VodafoneVMCLiteLauncher"="C:\Programme\Vodafone\VMCLite\\VodafoneVMCLiteLauncher.exe" [2007-10-17 11:07:22 102400]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 22:58:10 37296]
"Adobe ARM"="C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 04:59:06 937920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2008-06-23 15:37:33 124928]
"IE7"="advpack.dll" [2008-06-23 15:37:33 124928]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
NewShortcut1.lnk - C:\Programme\Vodafone\VMCLite\VodafoneVMCLiteLauncher.exe [2007-10-17 102400]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=C:\WINDOOF\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOOF\pss\BTTray.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOOF\pss\Google Updater.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOOF\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^Picture Motion Browser Medien-Prüfung.lnk]
path=C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\Picture Motion Browser Medien-Prüfung.lnk
backup=C:\WINDOOF\pss\Picture Motion Browser Medien-Prüfung.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOOF\system32\dumprep 0 -k [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
2005-09-24 05:30:38 483328 ----a-w- C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59:06 937920 ----a-r- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-09-07 22:58:10 37296 ----a-w- C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2005-12-14 14:07:48 458240 ----a-w- C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2009-06-08 07:36:50 102400 ----a-w- C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2005-11-24 13:38:08 94208 -c--a-w- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
2006-06-13 03:20:00 127036 ----a-w- C:\WINDOOF\system32\DLA\DLACTRLW.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
2010-08-11 11:36:01 30192 ----a-w- C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Updater]
2010-09-17 17:13:31 161336 ----a-w- C:\Programme\Google\Google Updater\GoogleUpdater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 19:17:32 49152 -c--a-w- C:\Programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2007-01-29 19:10:12 46632 -c--a-w- C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
2007-03-29 13:41:26 222128 ----a-w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2008-03-30 08:36:40 267048 ----a-w- C:\Programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22:54 1695232 ----a-w- C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50:42 155648 ----a-w- C:\WINDOOF\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-08-23 12:15:00 8478720 ----a-w- C:\WINDOOF\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-08-23 12:15:00 81920 ----a-w- C:\WINDOOF\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-08-23 12:15:00 1626112 ----a-w- C:\WINDOOF\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2007-01-29 19:12:14 30248 -c--a-w- C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPort11reminder]
2007-02-01 11:46:58 255528 -c--a-w- C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-03-28 21:37:20 413696 ----a-w- C:\Programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 18:24:46 32768 ----a-w- C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03:38 210472 -c--a-w- C:\Programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-12-02 18:49:57 149280 ----a-w- C:\Programme\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-04-03 14:19:29 68856 ----a-w- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-02-09 11:18:19 198160 ----a-w- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"C:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"C:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"C:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R?2 NAUpdate;@C:\Programme\Nero\Update\NASvc.exe,-200;C:\Programme\Nero\Update\NASvc.exe [04.05.2010 12:07:22 503080]
R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [01.08.2009 21:41:09 108289]
R2 FsUsbExService;FsUsbExService;C:\WINDOOF\system32\FsUsbExService.Exe [15.09.2009 17:46:49 233472]
R2 sdAuxService;PC Tools Auxiliary Service;C:\Programme\Spyware Doctor\pctsAuxs.exe [03.04.2008 16:22:54 747912]
R3 R5U870FLx86;R5U870 UVC Lower Filter ;C:\WINDOOF\system32\drivers\R5U870FLx86.sys [15.04.2008 12:19:40 75008]
R3 R5U870FUx86;R5U870 UVC Upper Filter ;C:\WINDOOF\system32\drivers\R5U870FUx86.sys [15.04.2008 12:19:40 43904]
R3 SonyImgF;Sony Image Conversion Filter Driver;C:\WINDOOF\system32\drivers\SonyImgF.sys [15.04.2008 12:18:16 30976]
R3 ti21sony;ti21sony;C:\WINDOOF\system32\drivers\ti21sony.sys [19.09.2007 13:48:08 808448]
S?2 gupdate;Google Update Service (gupdate);C:\Programme\Google\Update\GoogleUpdate.exe [03.11.2010 11:32:54 136176]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [04.12.2008 17:27:30 30192]
S3 gupdatem;Google Update-Dienst (gupdatem);C:\Programme\Google\Update\GoogleUpdate.exe [03.11.2010 11:32:54 136176]
S3 McComponentHostService;McAfee Security Scan Component Host Service;C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49:20 227232]
S3 MSSQL$SONY_MEDIAMGR2;SQL Server (SONY_MEDIAMGR2);C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [26.02.2008 22:08:50 29183504]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HPService REG_MULTI_SZ HPSLPSVC
Inhalt des "geplante Tasks" Ordners
2008-10-17 C:\WINDOOF\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 00:29:46 . 2005-08-24 00:29:46]
2008-10-07 C:\WINDOOF\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57:52 . 2007-08-29 12:57:52]
2011-09-25 C:\WINDOOF\Tasks\Google Software Updater.job
- C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-03 14:19:28 . 2011-09-25 19:55:18]
2011-10-18 C:\WINDOOF\Tasks\GoogleUpdateTaskMachineCore1cc8dbb8c41fd7c.job
- C:\Programme\Google\Update\GoogleUpdate.exe [2010-11-03 09:32:54 . 2010-11-03 09:32:51]
2009-02-16 C:\WINDOOF\Tasks\Norton Security Scan for xxx.job
- C:\Programme\Norton Security Scan\Nss.exe [2008-09-19 03:18:06 . 2008-09-19 03:18:06]
2011-07-23 C:\WINDOOF\Tasks\Scheduled Update for Ask Toolbar.job
- C:\Programme\Ask.com\UpdateTask.exe [2010-05-21 10:17:48 . 2010-05-21 10:17:48]
------- Zusätzlicher Suchlauf -------
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2431245
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Add to Google Photos Screensa&ver - C:\WINDOOF\system32\GPhotos.scr/200
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Translate this web page with Babylon - C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{23A8B124-0714-48A6-AB9A-43AB61A1D9C9}: NameServer = 212.121.128.10,212.121.128.11
FF - ProfilePath - C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\vwebwylr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - prefs.js: browser.startup.homepage - hxxp://google.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Java Quick Starter: jqs@sun.com - C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - C:\Programme\Real\RealPlayer\browserrecord\firefox\ext
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Nero Toolbar: toolbar@ask.com - %profile%\extensions\toolbar@ask.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-4E3E0230AEBB4E96 - C:\Recycle.Bin\Recycle.Bin.exe
AddRemove-touchpad_patch - C:\PROGRA~1\UNWISE.EXE
|
|
28.10.2011, 15:57
| #13 |
| /// Malware-holic | Bundespolizei Trojaner das log ist aber nicht vollständig, war das alles in der text datei?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
31.10.2011, 08:03
| #14 |
| | Bundespolizei Trojaner ja, das war leider alles. aber wie gesagt, der ist auch wieder mit einem Blue Screen ausgestiegen. |
|
31.10.2011, 11:02
| #15 |
| /// Malware-holic | Bundespolizei Trojaner hi, ich sehe hier überreste alter malware, malware kann das system nachhaltig beschädigen, weswegen du über das formatieren, neu aufsetzen und dann das absichern des pcs denken solltest. zu allem bekommst du hier ne anleitung. datensicherung ist natürlich möglich.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Bundespolizei Trojaner |
| befallen, bitte um hilfe, bundespolizei, bundespolizei trojaner, extras, fix, freund, rechner, troja, trojane, trojaner |
Linear-Darstellung
