| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Buzus aus rechnung.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.06.2008, 07:40
| #1 |
 |  TR/Buzus aus rechnung.exe Trotz vieler Sicherheitsmaßnahmen hat es mein Vater geschafft, seinen Rechner zu verseuchen. Die Datei stammt aus einer Mail wo von einer Zahlungsbestätigung über Paypal die Rede war. Ich werde den Dateien weder mit Spybot (erkennt sie als Agent.pz) noch mit AntiVir oder ComboFix Herr. Mal das Log von Jotti der rechnung.exe: Datei: Rechnung.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - Bit9 rapportiert: {BIT9_THREAT} A-Squared Keine Viren gefunden AntiVir TR/Buzus.hrp gefunden ArcaVir Heur.Win32.H gefunden Avast Keine Viren gefunden AVG Antivirus Downloader.Generic_c.XS gefunden BitDefender Trojan.Spy.Notos.I gefunden ClamAV PUA.Packed.nPack-3 gefunden CPsecure Troj.W32.Buzus.hrp gefunden Dr.Web Trojan.Proxy.3017 gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Trojan.Win32.Buzus.hrp gefunden Fortinet Keine Viren gefunden Ikarus Win32.Outbreak gefunden Kaspersky Anti-Virus Trojan.Win32.Buzus.hrp gefunden NOD32 Win32/TrojanDownloader.Nurech.NCK gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Sophos Antivirus Troj/Clagger-BE gefunden VirusBuster Trojan.Agent.ESNI gefunden VBA32 Keine Viren gefunden und nun noch das Log von HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:24:23, on 02.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\SecCopy\SecCopy.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Second Copy] "C:\PROGRA~1\SecCopy\SecCopy.exe" /InitialWait=5 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191054441781 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 8521 bytes ich sag schon mal vielen Dank im Voraus für die bekannt-bewährte Hilfe!! |
|
03.06.2008, 09:48
| #2 |
  | TR/Buzus aus rechnung.exe Ich denke mal, alle weiteren Versuche die Kiste zu reinigen, ist vergebene Liebesmüh.
__________________Du hast die NTOS.EXE drauf und da hielft nur noch ein Neu Aufsetzen |
|
06.06.2008, 08:04
| #3 | |
| | TR/Buzus aus rechnung.exeZitat:
Trotzdem danke für die Hilfe! |
|
06.06.2008, 08:45
| #4 |
| > MalwareDB   | TR/Buzus aus rechnung.exe Du hast einen Z-Bot auf dem Rechner und noch andere Schadsoftware. Der richtige Weg in diesem Fall ist die Neuinstallation des Rechners! Du von einem anderen Rechner aus
ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
06.06.2008, 13:03
| #5 |
| | TR/Buzus aus rechnung.exe Hi! Wie oben erwähnt habe ich den Trojan-Remover drüberlaufen lassen - hat ihn gefunden und umbenannt. Nach dem Neustart habe ich dann eben die Dateien (windows\system32\ntos.exe und windows\system32\wsnpoem) gshreddet und den Computer mit Spybot gecheckt. Spybot hat mir noch die restlichen Registry Einträge (v.a. Internet-Explorer Verbindungseinstellungen) repariert. Also, nun die Frage an euch: Hab ich ihn losbekommen? vielen lieben Dank Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:01:28, on 06.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\iTunes\iTunesHelper.exe C:\PROGRA~1\SecCopy\SecCopy.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [Second Copy] "C:\PROGRA~1\SecCopy\SecCopy.exe" /InitialWait=5 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191054441781 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 7913 bytes |
|
06.06.2008, 13:06
| #6 |
| > MalwareDB | TR/Buzus aus rechnung.exe Es tauchen nicht alle relavanten Einträge in einem HijackThis Log auf, daher meine bitte ein Combofix Log zu erstellen. Erst dann können wir eine Aussage treffen, wie weit Du bist.
__________________ --> TR/Buzus aus rechnung.exe |
|
06.06.2008, 13:22
| #7 |
| | TR/Buzus aus rechnung.exe So, das gewünschte Log von Combofix. Bin ich ja gespannt... ComboFix 08-06-01.2 - Privat 2008-06-06 14:13:28.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.281 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem\audio.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 )))))))))))))))))))))))))))))) . 2008-06-06 08:47 . 2008-06-06 08:52 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-02 12:28 . 2008-06-02 12:28 <DIR> dr------- C:\Dokumente und Einstellungen\***\Eigene Dateien 2008-06-02 12:26 . 2008-06-02 12:26 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software 2008-06-02 12:24 . 2008-06-02 12:24 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HappyFoto 2008-06-02 12:21 . 2008-06-02 12:21 <DIR> d--h----- C:\WINDOWS\PIF 2008-06-01 20:14 . 2008-06-01 20:14 <DIR> d-------- C:\Programme\CCleaner 2008-06-01 19:59 . 2008-06-01 19:59 <DIR> d-------- C:\Programme\Trend Micro 2008-05-31 19:26 . 2008-05-31 19:26 <DIR> d-------- C:\Programme\ODBC-DAO-RDO 2008-05-31 19:26 . 1996-11-08 02:48 368,912 --------- C:\WINDOWS\system32\vbar332.dll 2008-05-31 19:26 . 1998-01-23 12:22 304,128 --a------ C:\WINDOWS\IsUninst.exe 2008-05-31 19:26 . 1997-07-19 17:01 192,784 --------- C:\WINDOWS\system32\TABCTL32.OCX 2008-05-31 19:26 . 1996-12-05 00:00 162,850 --------- C:\WINDOWS\system32\Odbcjet.hlp 2008-05-31 19:26 . 1996-12-05 00:00 77,824 --------- C:\WINDOWS\system32\Odbctl32.dll 2008-05-31 19:26 . 1996-12-05 00:00 62,863 --------- C:\WINDOWS\system32\Odbcjtnw.hlp 2008-05-31 19:26 . 1996-10-29 00:00 26,340 --------- C:\WINDOWS\system32\Odbcinst.hlp 2008-05-31 19:26 . 1996-11-17 00:00 6,931 --------- C:\WINDOWS\system32\Odbcjet.cnt 2008-05-31 19:26 . 1996-11-17 00:00 3,176 --------- C:\WINDOWS\system32\Odbcjtnw.cnt 2008-05-31 19:26 . 1996-08-28 17:09 244 --------- C:\WINDOWS\system32\Odbcinst.cnt 2008-05-31 19:25 . 2008-05-31 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\WINDOWS 2008-05-31 19:25 . 2008-05-31 19:26 <DIR> d-------- C:\Austria 2008-05-31 19:25 . 1996-02-08 21:06 284,160 --a------ C:\WINDOWS\unin0407.exe 2008-05-31 19:25 . 1996-01-09 02:34 246,784 --a------ C:\WINDOWS\UNINST16.EXE 2008-05-31 19:25 . 1994-09-16 14:00 20,976 --a------ C:\WINDOWS\system\CTL3D.DLL 2008-05-31 17:32 . 2008-05-31 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\U3 2008-05-16 17:51 . 2008-05-16 17:56 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-05-16 17:44 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002815_.tmp 2008-05-16 17:40 . 2008-05-16 17:40 <DIR> d-------- C:\WINDOWS\EHome 2008-05-11 19:32 . 2008-05-11 19:32 5,120 --ahs---- C:\Thumbs.db . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-06 12:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-06-06 12:10 --------- d-----w C:\Programme\TuneUp Utilities 2007 2008-06-06 07:16 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-06-02 12:54 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2008-06-02 06:24 --------- d-----w C:\Programme\XviD 2008-06-02 06:24 --------- d-----w C:\Programme\Windows Media Connect 2 2008-06-02 06:24 --------- d-----w C:\Programme\Ocad8 neu 2008-06-02 06:24 --------- d-----w C:\Programme\Ocad8 2008-06-02 06:24 --------- d-----w C:\Programme\AoA DVD Ripper 2008-05-07 16:33 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM 2008-04-14 06:06 1,804 ----a-w C:\WINDOWS\system32\dcache.bin 2008-04-14 05:55 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe 2008-04-14 05:52 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll 2008-04-14 05:51 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll 2008-04-14 05:51 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll 2008-04-14 05:51 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll 2008-04-14 05:51 5,632 ----a-w C:\WINDOWS\system32\wmi.dll 2008-04-14 05:51 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll 2008-04-14 05:32 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys 2008-04-14 05:32 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys 2008-04-14 05:32 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys 2008-04-14 05:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys 2008-04-14 05:32 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys 2008-04-14 05:30 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-04-14 05:30 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-04-14 05:29 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll 2008-04-14 05:28 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys 2008-04-14 05:28 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys 2008-04-14 05:28 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys 2008-04-14 05:28 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys 2008-04-14 05:28 14,720 ----a-w C:\WINDOWS\system32\drivers\kbdhid.sys 2008-04-14 05:27 93,184 ------w C:\WINDOWS\system32\msxml6r.dll 2008-04-14 05:27 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys 2008-04-14 05:26 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll 2008-04-14 05:26 51,712 ----a-w C:\WINDOWS\system32\inetres.dll 2008-04-14 05:26 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys 2008-04-14 05:25 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys 2008-04-14 05:25 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll 2008-04-14 05:25 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys 2008-04-14 05:24 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys 2008-04-14 05:24 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll 2008-04-14 05:23 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys 2008-04-14 05:22 68,096 ----a-w C:\WINDOWS\system32\browselc.dll 2008-04-14 05:22 57,728 ----a-w C:\WINDOWS\system32\drivers\redbook.sys 2008-04-14 05:22 57,344 ----a-w C:\WINDOWS\system32\mshtmler.dll 2008-04-14 05:22 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys 2008-04-14 05:22 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys 2008-04-14 05:22 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-04-14 05:21 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys 2008-04-14 05:21 327,168 ------w C:\WINDOWS\system32\drivers\ati2mtaa.sys 2008-04-14 05:20 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys 2008-04-14 05:20 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys 2008-04-14 05:20 103,424 ----a-w C:\WINDOWS\system32\dpcdll.dll 2008-04-14 05:19 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys 2008-04-14 05:19 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys 2008-04-14 05:19 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys 2008-04-13 22:58 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys 2008-04-13 22:51 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys 2008-04-13 22:50 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys 2008-04-13 22:50 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-04-13 22:50 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys 2008-04-13 22:49 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys 2008-04-13 22:49 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys 2008-04-13 22:49 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys 2008-04-13 22:49 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys 2008-04-13 22:49 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-04-13 22:47 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys 2008-04-13 22:47 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys 2008-04-13 22:47 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys 2008-04-13 22:46 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys 2008-04-13 22:46 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys 2008-04-13 22:45 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys 2008-04-13 22:45 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys 2008-04-13 22:45 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-04-13 22:44 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys 2008-04-13 22:44 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys 2008-04-13 22:30 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-04-13 22:30 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys 2008-04-13 22:27 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys 2008-04-13 22:27 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys 2008-04-13 22:27 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys 2008-04-13 22:27 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys 2008-04-13 22:27 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys 2008-04-13 22:27 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys 2008-04-13 22:27 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys 2008-04-13 22:26 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys 2008-04-13 22:26 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys 2008-04-13 22:26 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys 2008-04-13 22:26 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys 2008-04-13 22:26 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys 2008-04-13 22:26 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys 2008-04-13 22:26 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys 2008-04-13 22:26 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys 2008-04-13 22:26 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys 2008-04-13 22:26 12,288 ----a-w C:\WINDOWS\system32\drivers\tunmp.sys 2008-04-13 22:25 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-04-13 22:24 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys 2008-04-13 22:23 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys 2008-04-13 22:23 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys 2008-04-13 22:23 36,608 ----a-w C:\WINDOWS\system32\drivers\ip6fw.sys . ((((((((((((((((((((((((((((( snapshot@2008-06-01_21.33.35.07 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-01 19:27:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-06 09:53:00 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2008-06-01 19:27:06 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-06-06 06:08:35 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-06-01 19:27:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-06-06 06:08:35 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Second Copy"="C:\PROGRA~1\SecCopy\SecCopy.exe" [2007-02-20 22:18 2636288] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="cmicnfg.cpl" [] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 15:57 262401] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 02:08 483328] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-06-28 09:14 270648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360] C:\Dokumente und Einstellungen\Privat\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [16.03.2005 20:16:50 113664] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [25.01.2007 17:50:44 25214] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [23.10.2006 02:48:20 40048] Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [23.10.2006 01:01:50 734872] hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [06.04.2003 02:17:18 147456] hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [06.04.2003 02:06:58 28672] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\FlashFXP\\FlashFXP.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-03-16 12:01] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \Shell\AutoRun\command - G:\LaunchU3.exe -a *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2008-05-23 19:42:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2007-04-07 10:05:21 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1167995050.job" - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-06-06 14:16:18 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-06 14:18:05 ComboFix-quarantined-files.txt 2008-06-06 12:18:02 ComboFix2.txt 2008-06-02 10:15:01 ComboFix3.txt 2008-06-01 19:34:43 8 Verzeichnis(se), 10,747,576,320 Bytes frei 11 Verzeichnis(se), 10,735,325,184 Bytes frei 219 --- E O F --- 2008-05-17 10:25:19 Geändert von mercrutio (06.06.2008 um 13:45 Uhr) |
|
06.06.2008, 14:08
| #8 |
| > MalwareDB | TR/Buzus aus rechnung.exe Ok, Combofix hat den verstecken Ordner gefunden. Jetzt bitte Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl 
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
06.06.2008, 14:38
| #10 |
| > MalwareDB | TR/Buzus aus rechnung.exe Ich sehe da nichts mehr von dem Befall. Zur eigenen Sicherheit kannst Du hier noch einen Online Scan machen, dieser muss im Interne Explorer Stattfinden und Du musst ein ActiveX Steuerelement zulassen. Das Ergebniss kannst Du dann hier posten.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
06.06.2008, 14:53
| #11 |
| | TR/Buzus aus rechnung.exe AntiVir hat mal nix gefunden, lass aber trotzdem gerade den Kaspersky onlinescan drüber. Vielen Dank für die super Hilfe und ich melde mich, falls mir jetzt noch etwas spanisch vorkommt! greetz merc |
|
| Themen zu TR/Buzus aus rechnung.exe |
| adobe, antivir, antivirus, avira, bho, combofix, ctfmon.exe, defender, dll, excel, explorer, google, hijack, hijackthis, hilfe!!, hkus\s-1-5-18, internet, internet explorer, konvertieren, log, microsoft, pdf, pdf-datei, rechnung.exe, rundll, software, system, tr/buzus, userinit.exe, vielen dank, viren, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
