| |
| |||||||
Log-Analyse und Auswertung: Ungewöhnlicher Datenverkehr aus Ihrem ComputernetzwerkWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
28.09.2012, 13:34
| #1 |
 |  Ungewöhnlicher Datenverkehr aus Ihrem Computernetzwerk hallo, Schrauber, ich bin mir nicht sicher, ob mein Vorgehen korrekt war: da ich Anti Viren sowie Anti Malware/Spyware Scanner deaktivieren sollte, habe ich auch die Internetverbindung abgeschaltet. Combofix brauchte aber nach einiger Zeit das Internet, also habe ich die Verbindung wieder eingeschaltet; allerdings blieben dabei die o.g. Scanner aus; während des ganzen Vorgangs war ich als Admin eingeloggt. sobald Combofix die benötigten Daten heruntergeladen hatte, habe ich die Internetverbindung wieder abgeschaltet. war das alles in Ordnung? und hier die Log-Datei: Combofix Logfile: Code:
ATTFilter ComboFix 12-09-27.03 - *** adm 28.09.2012 13:38:44.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1013.442 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\wa\Anwendungsdaten\Skype
c:\dokumente und einstellungen\wa\Anwendungsdaten\Skype\shared.lck
c:\dokumente und einstellungen\wa\Anwendungsdaten\Skype\shared.xml
c:\dokumente und einstellungen\wa\WINDOWS
c:\windows\system32\components
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
F:\autorun.inf
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_usnjsvc
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-08-28 bis 2012-09-28 ))))))))))))))))))))))))))))))
.
.
2012-09-26 22:23 . 2012-09-26 22:23 -------- d-----w- c:\programme\Kaspersky Lab
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-27 19:03 . 2008-04-14 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2012-08-27 19:03 . 2008-04-14 12:00 1830912 ------w- c:\windows\system32\inetcpl.cpl
2012-08-27 19:03 . 2008-04-14 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2012-08-27 19:03 . 2008-04-14 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-08-22 21:40 . 2012-08-22 21:40 821736 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-08-22 21:40 . 2010-06-09 19:35 746984 ----a-w- c:\windows\system32\deployJava1.dll
2012-08-22 21:40 . 2008-05-24 14:30 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-07-06 13:59 . 2008-04-14 12:00 78336 ----a-w- c:\windows\system32\browser.dll
2012-07-04 14:05 . 2008-05-24 09:18 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2008-04-14 12:00 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-03-13 04:38 . 2012-04-02 10:05 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"Taskbar Shuffle"="c:\programme\Taskbar Shuffle\taskbarshuffle.exe" [2008-04-17 818176]
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" [2010-08-09 389352]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-05 39408]
"KSS"="c:\programme\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" [2012-04-25 202296]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"MGSysCtrl"="c:\programme\System Control Manager\MGSysCtrl.exe" [2008-05-21 782336]
"QuickFinder Scheduler"="c:\programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 83568]
"UCam_Menu"="c:\programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"RemoteControl"="c:\programme\HomeCinema\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\programme\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-05-27 220160]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"Delphish Launcher"="c:\programme\Delphish\DelphishLauncher.exe" [2005-05-27 45056]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-08-03 36352]
"LGODDFU"="c:\programme\lg_fwupdate\fwupdate.exe" [2007-02-26 249856]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-11-26 1629480]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2007-11-26 1057064]
"DTVRemote"="c:\programme\DTV\RemoteControl.exe" [2006-07-11 61440]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"Lingvo Launcher"="c:\programme\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe" [2004-03-18 118784]
"SpywareTerminatorShield"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2012-09-06 2777296]
"SpywareTerminatorUpdater"="c:\programme\Spyware Terminator\SpywareTerminatorUpdate.exe" [2012-09-06 3673808]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-08-02 176128]
.
c:\dokumente und einstellungen\wa\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\*** adm\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Spamihilator.lnk - c:\programme\Spamihilator\spamihilator.exe [2011-12-3 1993728]
System Tray Audio Device Switcher.lnk - c:\programme\STADS\SoundCardSwitcher.exe [2010-2-10 102400]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.207\SSScheduler.exe [2011-6-17 272528]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Dokumente und Einstellungen\\*** adm\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Dokumente und Einstellungen\\***\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Spamihilator\\spamihilator.exe"=
"c:\\Programme\\Spamihilator\\cdcc.exe"=
"c:\\Programme\\Spamihilator\\dccproc.exe"=
"c:\\Programme\\Spyware Terminator\\SpywareTerminator.exe"=
"c:\\Programme\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
.
R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [08.09.2011 10:09 57112]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [21.03.2012 23:28 36000]
R1 sp_rsdrv2;Spyware Terminator 2012 Realtime Shield Driver;c:\windows\system32\drivers\sp_rsdrv2.sys [27.12.2011 18:17 32768]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2012 23:28 86224]
R2 KSS;Kaspersky Security Scan Service;c:\programme\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe [25.04.2012 19:53 202296]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\progra~1\mcafee\SITEAD~1\mcsacore.exe [27.12.2011 23:29 95232]
R2 Micro Star SCM;Micro Star SCM;c:\programme\System Control Manager\MSIService.exe [24.05.2008 12:22 159744]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [22.03.2010 16:40 9728]
R2 ST2012_Svc;Spyware Terminator 2012 Realtime Shield Service;c:\programme\Spyware Terminator\st_rsser.exe [27.12.2011 18:17 587472]
R2 WTGService;WTGService;c:\programme\Verbindungsassistent\WTGService.exe [22.08.2009 18:00 296400]
R3 KeyScrambler;KeyScrambler;c:\windows\system32\drivers\keyscrambler.sys [18.10.2008 00:02 225592]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [26.05.2008 03:30 153600]
S1 M9207;M9207 USB Digital TV BOX;c:\windows\system32\drivers\M9207BDA.sys [05.11.2009 22:46 36096]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [31.03.2010 18:37 135664]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe [26.05.2008 08:35 1527900]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [31.03.2010 18:37 135664]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.207\McCHSvc.exe [17.06.2011 19:33 237008]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [09.08.2006 16:39 17664]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25.01.2007 19:31 42000]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [16.06.2008 10:31 7808]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [24.05.2008 12:19 572416]
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-31 16:37]
.
2012-09-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-31 16:37]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
mStart Page = hxxp://www.aldi.com
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
FF - ProfilePath - c:\dokumente und einstellungen\*** adm\Anwendungsdaten\Mozilla\Firefox\Profiles\75vnvsjp.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-09-28 14:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3176)
c:\programme\Delphish\oehook.dll
c:\progra~1\mcafee\SITEAD~1\saHook.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Sandboxie\SbieSvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\FolderSize\FolderSizeSvc.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\windows\system32\PSIService.exe
c:\programme\Cyberlink\Shared files\RichVideo.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\rundll32.exe
c:\windows\RTHDCPL.EXE
c:\programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-09-28 14:08:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-09-28 12:08
.
Vor Suchlauf: 13 Verzeichnis(se), 26.923.859.968 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 27.978.584.064 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - A6641CF83F02A0C2C17B0B7A08169B58
|
|
| Themen zu Ungewöhnlicher Datenverkehr aus Ihrem Computernetzwerk |
| antivir, askbar, avira, computer, computernetzwerk, datenverkehr, error, firefox, fontcache, format, google, homepage, kaspersky, ntdll.dll, plug-in, problem, programm, realtek, safer networking, scan, security, siteadvisor, software, spyware, ungewöhnlicher, ungewöhnlicher datenverkehr, ungewöhnlicher datenverkehr aus ihrem netzwerk, win32/adware.adon, win32/toolbar.widgi, win32k.sys |
Hybrid-Darstellung
