TR/PSW.ZBOT & JAVA/Classy.A und C

Nusspli · 17.01.2013, 20:24

Das kam dabei raus... :

Code:

ATTFilter

ComboFix 13-01-17.03 - Chris 17.01.2013  20:20:39.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1387 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Chris\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Chris\Anwendungsdaten\Ofguec
c:\dokumente und einstellungen\Chris\Anwendungsdaten\Pipoxi
c:\dokumente und einstellungen\Chris\Anwendungsdaten\Pipoxi\fyapn.ece
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-17 bis 2013-01-17  ))))))))))))))))))))))))))))))
.
.
2013-01-16 18:04 . 2013-01-16 18:04	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2013-01-16 17:31 . 2013-01-16 17:31	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2013-01-16 17:31 . 2013-01-16 17:31	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2013-01-12 12:58 . 2013-01-12 12:58	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\LavasoftStatistics
2013-01-12 12:54 . 2013-01-12 12:54	--------	d-----w-	c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2013-01-12 12:54 . 2013-01-12 12:54	44424	----a-w-	c:\windows\system32\sbbd.exe
2013-01-12 12:54 . 2013-01-12 12:54	13560	----a-w-	c:\windows\system32\drivers\gfibto.sys
2013-01-12 12:53 . 2013-01-12 12:53	--------	d-----w-	c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\adawarebp
2013-01-12 12:53 . 2013-01-12 12:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection
2013-01-12 12:53 . 2013-01-12 12:53	--------	d-----w-	c:\programme\Toolbar Cleaner
2013-01-12 12:21 . 2013-01-12 12:21	--------	d-----w-	c:\dokumente und einstellungen\Chris\Anwendungsdaten\Malwarebytes
2013-01-12 12:21 . 2013-01-12 12:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-01-12 12:21 . 2013-01-12 12:21	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-01-12 12:21 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-01-10 05:45 . 2013-01-10 17:45	16369160	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
2013-01-01 12:59 . 2013-01-01 12:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2013-01-01 12:59 . 2013-01-01 12:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Battle.net
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-10 17:45 . 2012-03-31 08:50	697864	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-01-10 17:45 . 2011-09-09 17:23	74248	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-16 12:23 . 2004-08-04 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2004-08-04 12:00	1866496	----a-w-	c:\windows\system32\win32k.sys
2012-11-10 15:48 . 2012-05-07 09:16	821736	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-11-06 02:01 . 2008-04-14 02:22	1371648	------w-	c:\windows\system32\msxml6.dll
2012-11-02 02:02 . 2004-08-04 12:00	375296	----a-w-	c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2004-08-04 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 12:00	385024	------w-	c:\windows\system32\html.iec
2013-01-05 03:44 . 2013-01-11 17:13	262704	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2011-08-09 20055144]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-09-27 220744]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"BCSSync"="c:\programme\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-09-23 15512424]
"NvMediaCenter"="NvMCTray.dll" [2012-09-23 108392]
"nwiz"="c:\programme\NVIDIA Corporation\nview\nwiz.exe" [2012-09-23 1634112]
"Diamondback"="c:\programme\Razer\Diamondback\razerhid.exe" [2007-02-14 147456]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-27 20:51	919008	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08	1259376	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-07-14 16:57	116648	----atw-	c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-07-03 08:04	252848	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Battle.net\\Agent\\Agent.1040\\Agent.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Battle.net\\Agent\\Agent.1544\\Agent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
.
R0 gfibto;gfibto;c:\windows\system32\drivers\gfibto.sys [12.01.2013 13:54 13560]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [16.10.2011 07:20 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.10.2011 07:20 86224]
R2 GenPort;GenPort;c:\windows\system32\drivers\genport.sys [29.06.2012 18:59 4832]
R2 MapMem;MapMem;c:\windows\system32\drivers\MAPMEM.SYS [29.06.2012 18:59 6816]
R2 NTRemap;NTRemap;c:\windows\system32\drivers\NTREMAP.SYS [29.06.2012 18:59 6336]
R3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [07.11.2012 22:38 13225]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 14:14 160944]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [09.09.2011 18:09 1691480]
S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 XDva397;XDva397;\??\c:\windows\system32\XDva397.sys --> c:\windows\system32\XDva397.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - APPMGMT
*NewlyCreated* - JAVAQUICKSTARTERSERVICE
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 17:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://icanhascheezburger.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Chris\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\8rrf3cd5.default\
FF - prefs.js: browser.startup.homepage - hxxp://icanhas.cheezburger.com/
FF - ExtSQL: 2013-01-12 13:53; jid1-yZwVFzbsyfMrqQ@jetpack; c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\8rrf3cd5.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-17 20:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-776561741-117609710-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"??"=hex:c8,92,d9,ab,79,8d,08,c1,62,2e,fe,14,ad,2d,51,0c,01,de,87,11,03,50,56,
   53,1e,c9,d8,68,d4,96,af,2d,f4,bd,a0,19,f9,49,d7,8d,db,16,68,2e,d7,7b,25,71,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-01-17  20:23:36
ComboFix-quarantined-files.txt  2013-01-17 19:23
.
Vor Suchlauf: 10 Verzeichnis(se), 80.426.143.744 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 80.423.133.184 Bytes frei
.
- - End Of File - - E09E1848F24948A011D67D17510C77C7

TR/PSW.ZBOT & JAVA/Classy.A und C

Log-Analyse und Auswertung: TR/PSW.ZBOT & JAVA/Classy.A und C

TR/PSW.ZBOT & JAVA/Classy.A und C

Ähnliche Themen: TR/PSW.ZBOT & JAVA/Classy.A und C