EXP/Pidief.hdi [EXPLOIT] Problem

maxum · 16.11.2011, 13:23

ok, hier nun der logfile

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-11-15.06 - Markus 16.11.2011  12:53:09.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.895.478 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Markus\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\fullhhcache.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlcache.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCacheGame.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCacheGameChat.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCacheGamePlayer.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCacheGameTable.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCacheGameType.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCachePlayer.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCacheTournament.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCacheTournamentPlayer.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlCacheWin.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\sqlSequencecache.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Markus\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\Markus\WINDOWS
C:\install.exe
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-16 bis 2011-11-16  ))))))))))))))))))))))))))))))
.
.
2011-11-15 11:36 . 2011-11-15 11:36	--------	d-----w-	C:\_OTL
2011-11-14 15:45 . 2011-11-14 15:45	--------	d-----w-	c:\dokumente und einstellungen\Markus\Anwendungsdaten\Malwarebytes
2011-11-14 10:22 . 2011-11-14 10:22	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MARKUS-33DAF62D.000\Lokale Einstellungen\Anwendungsdaten\Identities
2011-11-11 21:18 . 2011-11-11 21:18	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MARKUS-33DAF62D.000\Anwendungsdaten\Avira
2011-11-11 09:55 . 2011-11-11 09:55	--------	d-----w-	c:\programme\ESET
2011-11-11 09:46 . 2011-11-11 09:46	--------	d-----w-	c:\programme\Complitly
2011-11-11 09:46 . 2011-11-11 09:46	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MARKUS-33DAF62D.000\Anwendungsdaten\Complitly
2011-11-11 09:46 . 2011-11-11 09:46	--------	d-----w-	c:\programme\Fast Download Manager
2011-11-11 09:08 . 2011-11-11 09:08	--------	d-s---w-	c:\dokumente und einstellungen\Administrator.MARKUS-33DAF62D.000\UserData
2011-11-11 08:49 . 2011-11-11 08:49	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MARKUS-33DAF62D.000\Anwendungsdaten\Malwarebytes
2011-11-11 08:49 . 2011-11-11 08:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-11-11 08:49 . 2011-11-11 08:49	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-11-10 11:26 . 2011-11-10 11:26	--------	d-----w-	c:\dokumente und einstellungen\Administrator.MARKUS-33DAF62D.000\Lokale Einstellungen\Anwendungsdaten\Mozilla
2011-11-10 11:25 . 2011-11-15 17:21	--------	d-----r-	c:\dokumente und einstellungen\Administrator.MARKUS-33DAF62D.000\Eigene Dateien
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-27 12:52 . 2011-06-17 10:09	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-04 14:47 . 2011-09-08 08:35	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"nwiz"="nwiz.exe" [2006-10-31 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-31 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-22 16858112]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-13 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.exe.lnk
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-29 19:59	937920	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-23 19:33	57344	----a-w-	c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-08-31 01:57	40368	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-11 03:17	149280	----a-w-	c:\programme\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"pgsql-8.3"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"ICQ Service"=2 (0x2)
"helpsvc"=2 (0x2)
"gupdate1cad1cd72ed9d5a"=2 (0x2)
"FontCache3.0.0.0"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hercules\\Classic Silver\\Station2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.07.2009 08:41 136360]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.11.2011 09:49 366152]
S3 idrmkl;idrmkl;\??\c:\dokume~1\Markus\LOKALE~1\Temp\idrmkl.sys --> c:\dokume~1\Markus\LOKALE~1\Temp\idrmkl.sys [?]
S3 MBAMProtector;MBAMProtector;\??\c:\windows\system32\drivers\mbam.sys --> c:\windows\system32\drivers\mbam.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]
S4 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" --> c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
mLocal Page = 
mStart Page = 
uInternet Connection Wizard,ShellNext = iexplore
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\programme\PartyGaming\PartyCasino\RunApp.exe
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.MARKUS-33DAF62D.000\Anwendungsdaten\Mozilla\Firefox\Profiles\fu6876xb.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.com
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-60709344.sys
MSConfigStartUp-DivXUpdate - c:\programme\DivX\DivX Update\DivXUpdate.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-ukuio - c:\dokumente und einstellungen\markus\lokale einstellungen\anwendungsdaten\ukuio.exe
AddRemove-Adobe Photoshop Elements 1.0 - c:\windows\ISUN0407.EXE
AddRemove-Adobe SVG Viewer - c:\windows\IsUn0407.exe
AddRemove-LingoMaxx - c:\progra~1\LINGOM~1\UNWISE32
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-11-16 13:03
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-515967899-842925246-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:54,fc,d0,12,cb,cd,27,95,5b,92,11,63,01,71,b1,00,56,f8,8f,bc,2f,
   ce,90,99,44,38,93,85,70,aa,ef,95,a3,25,57,00,51,03,32,fd,af,cf,36,cf,d4,0c,\
"rkeysecu"=hex:de,b6,88,f1,4a,ef,9e,a7,7b,a7,e0,ef,c4,ac,6c,b4
.
Zeit der Fertigstellung: 2011-11-16  13:05:48
ComboFix-quarantined-files.txt  2011-11-16 12:05
.
Vor Suchlauf: 12 Verzeichnis(se), 26.719.772.672 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 26.739.355.648 Bytes frei
.
- - End Of File - - 8F040001633B303A02700531F60A3ED0

--- --- ---

EXP/Pidief.hdi [EXPLOIT] Problem

Log-Analyse und Auswertung: EXP/Pidief.hdi [EXPLOIT] Problem

EXP/Pidief.hdi [EXPLOIT] Problem

Ähnliche Themen: EXP/Pidief.hdi [EXPLOIT] Problem