| |
| |||||||
Log-Analyse und Auswertung: Trojan.Zbot während Online-BankingWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
01.06.2013, 08:08
| #1 |
| /// TB-Ausbilder  |  Trojan.Zbot während Online-Banking Wir machen weiter: Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Deinstallation von Programmen
Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 3: Combofix nochmals MIT Update laufen lassen.
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
01.06.2013, 09:46
| #2 |
| | Trojan.Zbot während Online-Banking Guten morgen ryder,
__________________vielen Dank für deine Antwort. Software aus der Liste befindet sich nicht in der Softwareliste. Anbei das neue Adw-Log: Code:
ATTFilter # AdwCleaner v2.301 - Datei am 01/06/2013 um 10:06:56 erstellt
# Aktualisiert am 16/05/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : ****** - LIM80-GTI
# Bootmodus : Normal
# Ausgeführt unter : I:\Dokumente und Einstellungen\****** \Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gelöscht : I:\Dokumente und Einstellungen\****** \Anwendungsdaten\Mozilla\Firefox\Profiles\dyt01a4r.default\jetpack
***** [Registrierungsdatenbank] *****
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v21.0 (de)
Datei : I:\Dokumente und Einstellungen\****** \Anwendungsdaten\Mozilla\Firefox\Profiles\dyt01a4r.default\prefs.js
[OK] Die Datei ist sauber.
*************************
AdwCleaner[S1].txt - [41265 octets] - [30/05/2013 19:53:22]
AdwCleaner[S2].txt - [997 octets] - [01/06/2013 10:06:56]
########## EOF - I:\AdwCleaner[S2].txt - [1056 octets] ##########
ComboFix geupdatet und neuer Log: Code:
ATTFilter ComboFix 13-05-31.02 - ****** 01.06.2013 10:15:42.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1565 [GMT 2:00]
ausgeführt von:: i:\dokumente und einstellungen\****** \Desktop\NoMBR.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-05-01 bis 2013-06-01 ))))))))))))))))))))))))))))))
.
.
2013-05-30 14:10 . 2013-05-30 14:10 -------- d-----w- i:\dokumente und einstellungen\****** \Anwendungsdaten\Avira
2013-05-30 14:08 . 2013-05-30 13:34 84744 ----a-w- i:\windows\system32\drivers\avgntflt.sys
2013-05-30 14:08 . 2013-05-30 13:34 37352 ----a-w- i:\windows\system32\drivers\avkmgr.sys
2013-05-30 14:08 . 2013-05-30 13:34 135136 ----a-w- i:\windows\system32\drivers\avipbb.sys
2013-05-30 14:08 . 2013-05-30 14:08 -------- d-----w- i:\programme\Avira
2013-05-30 14:08 . 2013-05-30 14:08 -------- d-----w- i:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2013-05-30 13:51 . 2013-05-30 13:51 -------- d-----w- i:\dokumente und einstellungen\****** \Anwendungsdaten\Malwarebytes
2013-05-30 13:51 . 2013-05-30 13:51 -------- d-----w- i:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-05-30 13:51 . 2013-05-30 13:51 -------- d-----w- i:\programme\ Malwarebytes Anti-Malware
2013-05-30 13:51 . 2013-04-04 13:50 22856 ----a-w- i:\windows\system32\drivers\mbam.sys
2013-05-30 13:30 . 2013-05-30 13:30 -------- d-----w- i:\programme\Dropbox
2013-05-28 20:21 . 2013-05-28 20:21 -------- d-----w- i:\dokumente und einstellungen\****** \Anwendungsdaten\LavasoftStatistics
2013-05-28 19:46 . 2013-05-30 19:53 -------- d-----w- i:\programme\Ad-Aware Antivirus
2013-05-28 19:46 . 2013-05-28 19:46 -------- d-----w- i:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2013-05-28 19:46 . 2013-05-28 20:20 -------- d-----w- i:\dokumente und einstellungen\****** \Lokale Einstellungen\Anwendungsdaten\adawarebp
2013-05-28 19:46 . 2013-05-28 19:46 -------- d-----w- i:\dokumente und einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection
2013-05-28 19:45 . 2013-05-28 19:45 -------- d-----w- i:\programme\Toolbar Cleaner
2013-05-28 19:43 . 2013-05-28 19:43 44424 ----a-w- i:\windows\system32\sbbd.exe
2013-05-28 19:43 . 2013-05-28 19:43 13560 ----a-w- i:\windows\system32\drivers\gfibto.sys
2013-05-28 17:30 . 2013-05-28 17:30 -------- d-----w- i:\programme\Gemeinsame Dateien\Java
2013-05-28 17:30 . 2013-05-28 17:29 144896 ----a-w- i:\windows\system32\javacpl.cpl
2013-05-28 17:30 . 2013-05-28 17:29 94112 ----a-w- i:\windows\system32\WindowsAccessBridge.dll
2013-05-23 20:16 . 2013-05-30 14:03 -------- d-----w- i:\dokumente und einstellungen\****** \Anwendungsdaten\Ovqoat
2013-05-23 20:16 . 2013-05-30 13:55 -------- d-----w- i:\dokumente und einstellungen\****** \Anwendungsdaten\Avduc
2013-05-23 20:16 . 2013-05-23 20:16 -------- d-----w- i:\dokumente und einstellungen\****** \Anwendungsdaten\Oqhuno
2013-05-14 12:06 . 2013-05-14 12:06 -------- d--h--w- i:\windows\msdownld.tmp
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-28 17:29 . 2012-10-03 07:50 866720 ----a-w- i:\windows\system32\npdeployJava1.dll
2013-05-28 17:29 . 2010-08-31 18:18 788896 ----a-w- i:\windows\system32\deployJava1.dll
2013-05-15 17:44 . 2012-10-03 08:37 692104 ----a-w- i:\windows\system32\FlashPlayerApp.exe
2013-05-15 17:44 . 2012-01-12 09:25 71048 ----a-w- i:\windows\system32\FlashPlayerCPLApp.cpl
2013-04-16 22:16 . 2002-08-29 12:00 920064 ----a-w- i:\windows\system32\wininet.dll
2013-04-16 22:16 . 2002-08-29 12:00 43520 ----a-w- i:\windows\system32\licmgr10.dll
2013-04-16 22:16 . 2002-08-29 12:00 1469440 ------w- i:\windows\system32\inetcpl.cpl
2013-04-12 23:28 . 2004-08-04 07:42 385024 ----a-w- i:\windows\system32\html.iec
2013-04-12 14:00 . 2002-08-29 12:00 1876480 ----a-w- i:\windows\system32\win32k.sys
2013-03-08 08:36 . 2002-08-29 12:00 293888 ----a-w- i:\windows\system32\winsrv.dll
2013-03-07 15:56 . 2002-08-29 03:41 2031104 ----a-w- i:\windows\system32\ntkrnlpa.exe
2013-03-07 15:56 . 2002-08-29 12:00 2152448 ----a-w- i:\windows\system32\ntoskrnl.exe
2002-11-15 16:51 . 2009-10-24 13:48 33584 ----a-w- i:\programme\PNM-MHPC.icl
2001-03-09 14:18 . 2009-10-24 13:48 335872 ----a-w- i:\programme\MoorhuhnWinter.exe
1998-02-10 16:34 . 2009-06-14 18:41 128000 ----a-w- i:\programme\UNWISE.EXE
2006-05-03 10:06 163328 --sha-r- i:\windows\system32\flvDX.dll
2007-02-21 11:47 31232 --sha-r- i:\windows\system32\msfDX.dll
2008-03-16 13:30 216064 --sha-r- i:\windows\system32\nbDX.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- i:\dokumente und einstellungen\****** Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- i:\dokumente und einstellungen\****** \Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- i:\dokumente und einstellungen\****** \Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36 130736 ----a-w- i:\dokumente und einstellungen\****** \Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"
[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2009-10-16 09:44 97072 ----a-w- i:\programme\Nero\Tools\InCD\NBHshx.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="i:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-04-02 39408]
"DAEMON Tools Lite"="i:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UMonit"="i:\windows\System32\UMonit.exe" [2008-07-11 200704]
"NvCplDaemon"="i:\windows\System32\NvCpl.dll" [2008-08-15 13570048]
"NvMediaCenter"="i:\windows\System32\NvMcTray.dll" [2008-08-15 86016]
"SysTrayApp"="i:\programme\IDT\WDM\sttray.exe" [2007-12-14 413696]
"QuickTime Task"="i:\programme\Quick Time Player\qttask.exe" [2009-05-26 413696]
"GrooveMonitor"="i:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"LogMeIn Hamachi Ui"="i:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-12-10 2254768]
"SunJavaUpdateSched"="i:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2013-03-12 253816]
"avgnt"="i:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-05-30 345312]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="i:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
i:\dokumente und einstellungen\****** \Startmenü\Programme\Autostart\
Dropbox.lnk - i:\dokumente und einstellungen\****** \Anwendungsdaten\Dropbox\bin\Dropbox.exe [2013-5-25 27776968]
.
i:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Sitecom 150N USB Wireless LAN Utility.lnk - i:\programme\SITECOM\150N USB Wireless LAN Utility\RtWLan.exe [2012-5-27 991232]
.
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=i:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=i:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=i:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=i:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=i:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=i:\windows\pss\VPN Client.lnkCommon Startup
.
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^****** ^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=i:\dokumente und einstellungen\****** \Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=i:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
.
[HKLM\~\startupfolder\I:^Dokumente und Einstellungen^****** ^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk]
path=i:\dokumente und einstellungen\****** \Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
backup=i:\windows\pss\OpenOffice.org 3.2.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35 946352 ----a-w- i:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 11:08 35696 ----a-w- i:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2010-03-25 02:50 2516296 ----a-w- i:\programme\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenuEx]
2010-04-02 09:18 1185112 ----a-w- i:\programme\Canon\Solution Menu EX\CNSEMAIN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray]
2009-03-16 08:52 668424 ----a-w- i:\programme\Tobit ClipInc\Player\ClipIncTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-02-15 01:32 1230704 ----a-w- i:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2009-02-26 17:36 30040 ----a-w- i:\programme\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-01-05 08:18 133432 ----a-w- i:\programme\ICQ7.2\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2009-10-16 09:44 1060136 ----a-w- i:\programme\Nero\Tools\InCD\InCD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2012-12-10 16:29 2254768 ----a-w- i:\programme\LogMeIn Hamachi\hamachi-2-ui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ------w- i:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBHGui]
2009-10-16 09:44 1600816 ----a-w- i:\programme\Nero\Tools\InCD\NBHGui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2008-08-15 21:22 1657376 ----a-w- i:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut]
2008-10-13 18:41 50472 ------w- i:\programme\CyberLink\PowerDVD9\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- i:\programme\Quick Time Player\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl9]
2009-02-16 07:55 87336 ------w- i:\programme\CyberLink\PowerDVD9\PDVD9Serv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SAFEOEM HotKeys]
2008-12-11 08:16 26112 ----a-w- i:\programme\Steganos Safe OEM\SteganosHotKeyService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2012-08-25 07:26 1353080 ----a-w- i:\programme\Steam\Steam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2010-04-02 13:49 39408 ----a-w- i:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2010-08-24 09:38 247144 ----a-w- i:\programme\TomTom HOME 2\TomTomHOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"i:\\Spiele\\Quake 3 Arena\\quake3.exe"=
"i:\\Spiele\\Warcraft III\\Frozen Throne.exe"=
"i:\\Spiele\\Warcraft III\\Warcraft III.exe"=
"i:\\WINDOWS\\system32\\dplaysvr.exe"=
"i:\\Spiele\\ANNO 1602\\1602.EXE"=
"i:\\Spiele\\SNES GAMES\\zsnw1337\\ZSNESW.EXE"=
"i:\\Programme\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"=
"i:\\Programme\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=
"i:\\Spiele\\Age of Empires II\\empires2.exe"=
"i:\\Programme\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"i:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"i:\\Spiele\\Black Isle\\Bg2\\BGMain.exe"=
"i:\\Spiele\\Black Isle\\Bg1\\BGMain2.exe"=
"i:\\Spiele\\Age of Wonders\\AoW.exe"=
"i:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"i:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"i:\\Programme\\ICQ7.2\\ICQ.exe"=
"i:\\Programme\\ICQ7.2\\aolload.exe"=
"i:\\Dokumente und Einstellungen\\****** \\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"i:\\Spiele\\Half-Life\\hl.exe"=
"i:\\Spiele\\Call of Duty\\CoDMP.exe"=
"i:\\Spiele\\Return to Castle Wolfenstein\\WolfMP.exe"=
"i:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"i:\\Spiele\\EA Games\\game.dat"=
"i:\\Spiele\\DieStaemme\\mysql\\bin\\mysqld.exe"=
"i:\\Spiele\\DieStaemme\\apache\\bin\\apache.exe"=
"i:\\Programme\\SITECOM\\150N USB Wireless LAN Utility\\RtWLan.exe"=
"i:\\Programme\\SITECOM\\150N USB Wireless LAN Utility\\RTLDHCP.exe"=
"i:\\Programme\\Steam\\steamapps\\lim81\\counter-strike\\hl.exe"=
"i:\\Spiele\\Empire Earth - Zeitalter der Eroberungen\\EE-AOC.exe"=
"i:\\Programme\\Java\\jre7\\bin\\javaw.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:6112 wc3
"7845:UDP"= 7845:UDP:ZSNES
"7845:TCP"= 7845:TCP:ZSNES
"6113:TCP"= 6113:TCP:6113
"6114:TCP"= 6114:TCP:6114
"6115:TCP"= 6115:TCP:6115
"6116:TCP"= 6116:TCP:6116
"6117:TCP"= 6117:TCP:6117
"6118:TCP"= 6118:TCP:6118
"6119:TCP"= 6119:TCP:6119
"6112:UDP"= 6112:UDP:6112
"6113:UDP"= 6113:UDP:6113
"6114:UDP"= 6114:UDP:6114
"6115:UDP"= 6115:UDP:6115
"6116:UDP"= 6116:UDP:6116
"6117:UDP"= 6117:UDP:6117
"6118:UDP"= 6118:UDP:6118
"6119:UDP"= 6119:UDP:6119
"1542:TCP"= 1542:TCP:Realtek WPS TCP Prot
"1542:UDP"= 1542:UDP:Realtek WPS UDP Prot
"53:UDP"= 53:UDP:Realtek AP UDP Prot
.
R0 gfibto;gfibto;i:\windows\system32\drivers\gfibto.sys [28.05.2013 21:43 13560]
R0 sptd;sptd;i:\windows\system32\drivers\sptd.sys [20.10.2008 12:50 717296]
R1 avkmgr;avkmgr;i:\windows\system32\drivers\avkmgr.sys [30.05.2013 16:08 37352]
R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];i:\windows\system32\drivers\sleen16.sys [01.10.2008 15:24 79104]
R2 AntiVirSchedulerService;Avira Planer;i:\programme\Avira\AntiVir Desktop\sched.exe [30.05.2013 16:08 86752]
R2 ClipInc001;ClipInc 001;i:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> i:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?]
R2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;i:\programme\LogMeIn Hamachi\hamachi-2.exe [10.12.2012 18:29 1435568]
R2 NeroRegInCDSrv;Nero Registry InCD Service;i:\programme\Nero\Tools\InCD\NBHRegInCDSrv.exe [16.10.2009 11:44 53560]
R2 TomTomHOMEService;TomTomHOMEService;i:\programme\TomTom HOME 2\TomTomHOMEService.exe [24.08.2010 11:38 92008]
R3 FIXUSTOR;FIXUSTOR;i:\windows\system32\drivers\fixustor.sys [18.10.2008 20:14 12416]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;i:\windows\system32\drivers\RTL8192su.sys [27.05.2012 12:14 606056]
S2 MBAMScheduler;MBAMScheduler;i:\programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [30.05.2013 15:51 418376]
S2 MBAMService;MBAMService;i:\programme\ Malwarebytes Anti-Malware \mbamservice.exe [30.05.2013 15:51 701512]
S3 MBAMProtector;MBAMProtector;i:\windows\system32\drivers\mbam.sys [30.05.2013 15:51 22856]
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-31 i:\windows\Tasks\Adobe Flash Player Updater.job
- i:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-03 17:44]
.
2013-06-01 i:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- i:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 00:36]
.
2013-05-31 i:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- i:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 00:36]
.
2013-06-01 i:\windows\Tasks\WGASetup.job
- i:\windows\system32\KB905474\wgasetup.exe [2010-06-17 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Free YouTube to MP3 Converter - i:\dokumente und einstellungen\****** \Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - i:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{07BA1DA9-F501-4796-8728-74D1B91A6CD5} - i:\programme\PokerStars.EU\PokerStarsUpdate.exe
TCP: DhcpNameServer = 192.168.1.1
DPF: DirectAnimation Java Classes - file://i:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://i:\windows\Java\classes\xmldso.cab
FF - ProfilePath - i:\dokumente und einstellungen\****** \Anwendungsdaten\Mozilla\Firefox\Profiles\dyt01a4r.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - google.de
FF - ExtSQL: 2013-05-29 22:11; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; i:\dokumente und einstellungen\****** \Anwendungsdaten\Mozilla\Firefox\Profiles\dyt01a4r.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF - ExtSQL: 2013-05-29 22:12; {73a6fe31-595d-460b-a920-fcc0f8843232}; i:\dokumente und einstellungen\****** \Anwendungsdaten\Mozilla\Firefox\Profiles\dyt01a4r.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
FF - ExtSQL: !HIDDEN! 2010-09-06 10:52; {20a82645-c095-46ed-80e3-08825760534b}; i:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-06-01 10:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
UMonit = i:\windows\System32\UMonit.exe?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,80,ad,c2,1f,26,60,02,45,b1,7b,c0,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,80,ad,c2,1f,26,60,02,45,b1,7b,c0,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@i:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="i:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2936)
i:\dokumente und einstellungen\****** \Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
i:\programme\Nero\Tools\InCD\NBHshx.dll
i:\windows\system32\webcheck.dll
i:\windows\system32\WPDShServiceObj.dll
i:\windows\system32\PortableDeviceTypes.dll
i:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2013-06-01 10:26:53
ComboFix-quarantined-files.txt 2013-06-01 08:26
ComboFix2.txt 2013-05-31 16:26
.
Vor Suchlauf: 27 Verzeichnis(se), 53.220.270.080 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 53.207.031.808 Bytes frei
.
- - End Of File - - D2C92EF774AD24A7C7720B8258FE556B
Ich wollte dich noch über zwei Auffälligkeiten informieren, weil ich nicht weiss, inwieweit das für "unsere" - bzw. deine - Arbeit relevant ist  . Bereits vor einer Woche fiel mir auf, dass das ^-Symbol beim betätigen immer gleich 2x erschien, auch wenn ich die Taste nur einmal gedrückt habe. Ich schreibe das nur, weil mir das zufällig hier in einem anderen Zbot-Threat aufgefallen war, dass das gleiche Problem geschildert wurde. Seit dem Durchlauf mit den Anti-Viren Programmen und Malwarebytes funktioniert die Taste aber wieder normal. Worüber ich mir mehr Gedanken mache ist, dass bei jedem Start des PC sobald der Desktop geladen wird, für ein paar Sekunden unten rechts erscheint "Der PC ist evtl. gefährdet. Kein Firewall ist aktiviert". Das Symbol verschwindet aber nach 3-4 sek von alleine und unter Sicherheitscenter ist die Firewall an, wenn ich danach dort schaue. Liebe Grüße |
|
| Themen zu Trojan.Zbot während Online-Banking |
| ad-aware, administrator, adware.hotbar, adware.softomate, anti-malware, dateien, e-banking, explorer, gelöscht, malwarebytes, microsoft, neustart, nicht mehr, online-banking, quarantäne, screen, service pack 3, speicher, systemstart, tr/minimal.a.132, trojan.zbot, trojaner |
Hybrid-Darstellung
