Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner Problem, escan log

Trojaner Problem, escan log


Plagegeister aller Art und deren Bekämpfung: Trojaner Problem, escan log

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.06.2008, 08:32   #1
fpet0401
 
Trojaner Problem, escan log - Standard

Trojaner Problem, escan log


Hallo Leute,

ich hoffe ich bin hier richtig und kann Euch hier mein log von eScan zeigen. Ich bin noch etwas Trojaner-unerfahren und bitte um eine kleine Unterstützung.

Vielen Dank

Peter


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 9.8.1
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente\Rechnung.exe infiziert durch den Virus "Trojan.Win32.Buzus.hrp"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Rechnung.exe infiziert durch den Virus "Trojan.Win32.Buzus.hrp"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-536365361-2777078707-3831735319-500\Dc1\Rechnung.exe infiziert durch den Virus "Trojan.Win32.Buzus.hrp"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-536365361-2777078707-3831735319-500\Dc8.IE5\GCYU0IET\sp36292[1].exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-536365361-2777078707-3831735319-500\Dc9\OLK21C1\Rechnung (2).rar/Rechnung.exe infiziert durch den Virus "Trojan.Win32.Buzus.hrp"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Temp\1D.tmp infiziert durch den Virus "Trojan-Spy.Win32.Agent.crm"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Temp\B.tmp infiziert durch den Virus "Trojan-Spy.Win32.Zbot.cfa"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Temp\B8.tmp infiziert durch den Virus "Trojan.Win32.Buzus.hfa"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Temp\B9.tmp infiziert durch den Virus "Trojan-Spy.Win32.Agent.crm"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Rechnung.exe infiziert durch den Virus "Trojan.Win32.Buzus.hrp"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-536365361-2777078707-3831735319-500\Dc1\Rechnung.exe infiziert durch den Virus "Trojan.Win32.Buzus.hrp"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-536365361-2777078707-3831735319-500\Dc8.IE5\GCYU0IET\sp36292[1].exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-536365361-2777078707-3831735319-500\Dc9\OLK21C1\Rechnung (2).rar/Rechnung.exe infiziert durch den Virus "Trojan.Win32.Buzus.hrp"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\cryptonet.dll infiziert durch den Virus "Trojan-Spy.Win32.Agent.crl"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Temp\1D.tmp infiziert durch den Virus "Trojan-Spy.Win32.Agent.crm"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Temp\B.tmp infiziert durch den Virus "Trojan-Spy.Win32.Zbot.cfa"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Temp\B8.tmp infiziert durch den Virus "Trojan.Win32.Buzus.hfa"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\Temp\B9.tmp infiziert durch den Virus "Trojan-Spy.Win32.Agent.crm"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\NERO13903\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3RPAC8W5\vnc-4_1_2-x86_win32[1].exe//file1 markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\NERO13903\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-536365361-2777078707-3831735319-500\Dc8.IE5\3RPAC8W5\vnc-4_1_2-x86_win32[1].exe//file1 markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
Datei C:\WINDOWS\CSC\d4\800003BB//stream//data0013 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\CSC\d5\800003BC//stream//data0013 markiert als "not-a-virus:AdWare.Win32.MyWay.j". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\dl\Cdvd.exe//stream//data0013 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\dl\cliprex_dvd_player.exe//stream//data0013 markiert als "not-a-virus:AdWare.Win32.MyWay.j". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\dl\Programme\VNC\vnc-4_1_2-x86_win32.exe//file1 markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
Datei D:\dl\vnc-4_1_2-x86_win32.exe//file1 markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
Datei D:\Programme\RealVNC\VNC4\vncviewer.exe markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\NERO13903\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\RECYCLER\S-1-5-21-536365361-2777078707-3831735319-500\Dc8.IE5\3RPAC8W5\vnc-4_1_2-x86_win32[1].exe//file1 markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
Datei C:\WINDOWS\CSC\d4\800003BB//stream//data0013 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\CSC\d5\800003BC//stream//data0013 markiert als "not-a-virus:AdWare.Win32.MyWay.j". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\dl\Cdvd.exe//stream//data0013 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\dl\cliprex_dvd_player.exe//stream//data0013 markiert als "not-a-virus:AdWare.Win32.MyWay.j". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\dl\Programme\VNC\vnc-4_1_2-x86_win32.exe//file1 markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
Datei D:\dl\vnc-4_1_2-x86_win32.exe//file1 markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
Datei D:\Programme\RealVNC\VNC4\vncviewer.exe markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.4". Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\microsoft\support.url
Offending file found: C:\WINDOWS\system32\wsnpoem
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
Offending Registry Entry found: hklm\software\policies\microsoft\windowsfirewall\domainprofile/enablefirewall
Offending Registry Entry found: hklm\software\policies\microsoft\windowsfirewall\standardprofile/enablefirewall
Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\microsoft\support.url
Offending file found: C:\WINDOWS\system32\wsnpoem
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
Offending Registry Entry found: hklm\software\policies\microsoft\windowsfirewall\domainprofile/enablefirewall
Offending Registry Entry found: hklm\software\policies\microsoft\windowsfirewall\standardprofile/enablefirewall
Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\microsoft\support.url
Offending file found: C:\WINDOWS\system32\wsnpoem
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
Offending Registry Entry found: hklm\software\policies\microsoft\windowsfirewall\domainprofile/enablefirewall
Offending Registry Entry found: hklm\software\policies\microsoft\windowsfirewall\standardprofile/enablefirewall
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 824893].
Indexed Spyware Databases Successfully Created...
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware ({5c1acde0-8124-11cf-bbe7-444553540000})! Action taken: Keine Maßnahme ergriffen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with cybersitter Spyware/Adware (hklm\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen.
System found infected with cybersitter Spyware/Adware (hkcu\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkus\.default\software\microsoft\windows\currentversion\explorer/{02ffac45-0b10-5633-4296-1801f1a36678})! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (C:\WINDOWS\system32\wsnpoem)! Action taken: Keine Maßnahme ergriffen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\policies\microsoft\windowsfirewall\domainprofile/enablefirewall)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\policies\microsoft\windowsfirewall\standardprofile/enablefirewall)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows nt\currentversion\network/uid)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.
System found infected with spyware.pcagent Commercial KeyLogger (hkcr\.pca)! Action taken: Keine Maßnahme ergriffen.
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 824893].
Indexed Spyware Databases Successfully Created...
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware ({5c1acde0-8124-11cf-bbe7-444553540000})! Action taken: Keine Maßnahme ergriffen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with cybersitter Spyware/Adware (hklm\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen.
System found infected with cybersitter Spyware/Adware (hkcu\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkus\.default\software\microsoft\windows\currentversion\explorer/{02ffac45-0b10-5633-4296-1801f1a36678})! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (C:\WINDOWS\system32\wsnpoem)! Action taken: Keine Maßnahme ergriffen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\policies\microsoft\windowsfirewall\domainprofile/enablefirewall)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\policies\microsoft\windowsfirewall\standardprofile/enablefirewall)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows nt\currentversion\network/uid)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.
System found infected with spyware.pcagent Commercial KeyLogger (hkcr\.pca)! Action taken: Keine Maßnahme ergriffen.
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 824893].
Indexed Spyware Databases Successfully Created...
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware ({5c1acde0-8124-11cf-bbe7-444553540000})! Action taken: Keine Maßnahme ergriffen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with cybersitter Spyware/Adware (hklm\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen.
System found infected with cybersitter Spyware/Adware (hkcu\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkus\.default\software\microsoft\windows\currentversion\explorer/{02ffac45-0b10-5633-4296-1801f1a36678})! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (C:\WINDOWS\system32\wsnpoem)! Action taken: Keine Maßnahme ergriffen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\policies\microsoft\windowsfirewall\domainprofile/enablefirewall)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\policies\microsoft\windowsfirewall\standardprofile/enablefirewall)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows nt\currentversion\network/uid)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.
System found infected with spyware.pcagent Commercial KeyLogger (hkcr\.pca)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

Alt 06.06.2008, 08:34   #2
Sunny
Administrator
> Competence Manager
 
Trojaner Problem, escan log - Standard

Trojaner Problem, escan log


Hallo fpet0401 und




Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________
Alt 06.06.2008, 10:51   #3
fpet0401
 
Trojaner Problem, escan log - Standard

Trojaner Problem, escan log


Hallo,
vielen Dank für die schnelle Hilfe. Ich hab alles wie in den Beschreibungen abgearbeitet und hier ist nun der Inhalt vom combofix.txt:


ComboFix 08-06-05.3 - Administrator 2008-06-06 11:34:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.545 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\USBToolbox\_desktop.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\x64

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 ))))))))))))))))))))))))))))))
.

2008-11-18 07:32 . 2008-11-18 07:32 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\SQL Server Management Studio ExpressTemplates
2008-11-18 07:32 . 2008-04-07 10:40 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\SQL Server Management Studio Express
2008-06-06 11:27 . 2008-06-06 11:27 <DIR> d-------- C:\Programme\CCleaner
2008-06-06 09:39 . 2008-06-06 09:40 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-06 09:39 . 2008-06-06 09:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-06 09:39 . 2008-06-06 09:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-06-06 09:39 . 2008-06-05 16:04 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-06 09:39 . 2008-06-05 16:04 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-06 08:22 . 2008-06-06 09:36 <DIR> d-------- C:\escan
2008-06-05 20:04 . 2008-06-06 07:23 0 --a------ C:\23990098.$$$
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-06-05 15:40 . 2004-08-04 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-06-05 15:40 . 2004-08-04 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-05 15:40 . 2008-06-05 16:08 50 --a------ C:\WINDOWS\Lic.xxx
2008-06-05 15:31 . 2008-06-06 11:31 <DIR> d-------- C:\scan
2008-06-02 16:32 . 2008-05-31 15:46 66,220 --a------ C:\Rechnung.exe
2008-06-02 16:31 . 2008-06-02 16:31 28,672 --a------ C:\WINDOWS\system32\cryptonet.dll
2008-05-30 08:09 . 2008-05-30 08:09 <DIR> d-------- C:\Programme\TeamViewer3
2008-05-30 08:09 . 2008-05-30 08:29 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\TeamViewer
2008-05-30 08:08 . 2008-05-30 08:08 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\temp
2008-05-20 15:56 . 2008-05-20 15:57 <DIR> d-------- C:\Mel80
2008-05-07 17:07 . 2008-05-07 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\U3
2008-05-06 13:45 . 2008-06-05 10:04 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\skypePM
2008-05-06 13:45 . 2008-05-06 13:45 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-06 13:44 . 2008-06-05 11:05 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\Skype
2008-05-06 13:43 . 2008-05-06 13:44 <DIR> d-------- C:\Programme\Skype
2008-05-06 13:43 . 2008-05-06 13:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-06 13:43 . 2008-05-06 13:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-18 05:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-06 09:36 --------- d-----w C:\Programme\USBToolbox
2008-06-06 09:10 --------- d-----w C:\Programme\Symantec AntiVirus
2008-05-14 13:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-25 06:46 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-25 06:46 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-04-25 06:18 --------- d-----w C:\Programme\Nokia
2008-04-25 06:18 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2008-04-25 06:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-04-25 06:17 --------- d-----w C:\Programme\PC Connectivity Solution
2008-04-25 06:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-04-23 10:19 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-04-23 10:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-22 12:29 --------- d-----w C:\Programme\AviSynth 2.5
2008-04-22 12:15 --------- d-----w C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\Publish Providers
2008-04-22 12:13 --------- d-----w C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\Sony
2008-04-22 12:10 --------- d-----w C:\Programme\Vstplugins
2008-04-22 12:10 --------- d-----w C:\Programme\Sony
2008-04-18 09:36 --------- d-----w C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\PC Suite
2008-04-18 09:30 --------- d-----w C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\Corel
2008-04-18 09:29 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-18 09:29 --------- d-----w C:\Programme\CyberLink
2008-04-18 06:46 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-16 09:06 --------- d-----w C:\Programme\xampp
2008-04-10 07:53 --------- d-----w C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\Winamp
2008-04-09 14:04 --------- d-----w C:\Programme\aon
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-06 09:14 831,048 ----a-w C:\WINDOWS\system32\WudfUpdate_01005.dll
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 14:49 16377344 C:\WINDOWS\RTHDCPL.EXE]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 14:00 144384]
"Device Detector"="C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" [2003-11-27 11:15 217088]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2004-04-02 14:57 66656]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-04-02 15:05 124128]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Programme\Google\Gmail Notifier\gnotify.exe" [2005-07-15 23:48 479232]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33 892928]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 11:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-02-26 11:34 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-02-26 11:34 155648]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-02-26 11:33 131072]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 21:16 286720]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinampAgent"="d:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-23 12:19 185896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 18:41 1232896]

C:\Dokumente und Einstellungen\Peter.MAIL\Startmen\Programme\Autostart\
NetzWin2000.bat [2008-03-03 11:58:46 1216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2007-10-29 17:19:14 49254]
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-29 17:35:25 110592]
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 17:15:54 65588]
Windows-Desktopsuche.lnk - C:\Programme\Windows Desktop Search\WindowsSearch.exe [2007-02-05 16:40:46 118784]
WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2008-01-02 10:26:18 122880]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 16:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptonet]
cryptonet.dll 2008-06-02 16:31 28672 C:\WINDOWS\system32\cryptonet.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\Drivers\LCcFltr.Sys [2004-03-03 10:50]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05]
S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53]
S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39]
S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-02-02 08:41:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 11:37:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\cryptonet.dll
.
Zeit der Fertigstellung: 2008-06-06 11:37:58
ComboFix-quarantined-files.txt 2008-06-06 09:37:54

19 Verzeichnis(se), 1,407,668,224 Bytes frei
21 Verzeichnis(se), 2,763,206,656 Bytes frei

178 --- E O F --- 2008-05-28 14:59:03
__________________
Alt 06.06.2008, 11:19   #4
Sunny
Administrator
> Competence Manager
 
Trojaner Problem, escan log - Standard

Trojaner Problem, escan log


Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptonet]

FILE::
C:\WINDOWS\system32\cryptonet.dll
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 06.06.2008, 12:23   #5
fpet0401
 
Trojaner Problem, escan log - Standard

Trojaner Problem, escan log


Hallo Sunny,

hier ist das nächste log:

ComboFix 08-06-05.3 - Administrator 2008-06-06 12:38:28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.484 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\cryptonet.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cryptonet.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 ))))))))))))))))))))))))))))))
.

2008-11-18 07:32 . 2008-11-18 07:32 <DIR> d-------- C:\Dokumente und Einstellungen\***\SQL Server Management Studio ExpressTemplates
2008-11-18 07:32 . 2008-04-07 10:40 <DIR> d-------- C:\Dokumente und Einstellungen\***\SQL Server Management Studio Express
2008-06-06 11:27 . 2008-06-06 11:27 <DIR> d-------- C:\Programme\CCleaner
2008-06-06 09:39 . 2008-06-06 09:40 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-06 09:39 . 2008-06-06 09:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-06 09:39 . 2008-06-06 09:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-06-06 09:39 . 2008-06-05 16:04 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-06 09:39 . 2008-06-05 16:04 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-06 08:22 . 2008-06-06 09:36 <DIR> d-------- C:\escan
2008-06-05 20:04 . 2008-06-06 07:23 0 --a------ C:\23990098.$$$
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-06-05 15:44 . 2008-06-05 15:44 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-06-05 15:40 . 2004-08-04 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-06-05 15:40 . 2004-08-04 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-05 15:40 . 2008-06-05 16:08 50 --a------ C:\WINDOWS\Lic.xxx
2008-06-05 15:31 . 2008-06-06 11:31 <DIR> d-------- C:\scan
2008-06-02 16:32 . 2008-05-31 15:46 66,220 --a------ C:\Rechnung.exe
2008-05-30 08:09 . 2008-05-30 08:09 <DIR> d-------- C:\Programme\TeamViewer3
2008-05-30 08:09 . 2008-05-30 08:29 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\TeamViewer
2008-05-30 08:08 . 2008-05-30 08:08 <DIR> d-------- C:\Dokumente und Einstellungen\***\temp
2008-05-20 15:56 . 2008-05-20 15:57 <DIR> d-------- C:\Mel80
2008-05-07 17:07 . 2008-05-07 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\U3
2008-05-06 13:45 . 2008-06-05 10:04 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\skypePM
2008-05-06 13:45 . 2008-05-06 13:45 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-06 13:44 . 2008-06-05 11:05 <DIR> d-------- C:\Dokumente und Einstellungen\Peter.MAIL\Anwendungsdaten\Skype
2008-05-06 13:43 . 2008-05-06 13:44 <DIR> d-------- C:\Programme\Skype
2008-05-06 13:43 . 2008-05-06 13:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-06 13:43 . 2008-05-06 13:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-18 05:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-06 10:41 --------- d-----w C:\Programme\Symantec AntiVirus
2008-06-06 09:36 --------- d-----w C:\Programme\USBToolbox
2008-05-14 13:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-25 06:46 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-25 06:46 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-04-25 06:18 --------- d-----w C:\Programme\Nokia
2008-04-25 06:18 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2008-04-25 06:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-04-25 06:17 --------- d-----w C:\Programme\PC Connectivity Solution
2008-04-25 06:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-04-23 10:19 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-04-23 10:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-22 12:29 --------- d-----w C:\Programme\AviSynth 2.5
2008-04-22 12:15 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Publish Providers
2008-04-22 12:13 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sony
2008-04-22 12:10 --------- d-----w C:\Programme\Vstplugins
2008-04-22 12:10 --------- d-----w C:\Programme\Sony
2008-04-18 09:36 --------- d-----w C:\Dokumente und Einstellungen\+++\Anwendungsdaten\PC Suite
2008-04-18 09:30 --------- d-----w C:\Dokumente und Einstellungen\+++\Anwendungsdaten\Corel
2008-04-18 09:29 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-18 09:29 --------- d-----w C:\Programme\CyberLink
2008-04-16 09:06 --------- d-----w C:\Programme\xampp
2008-04-10 07:53 --------- d-----w C:\Dokumente und Einstellungen\+++\Anwendungsdaten\Winamp
2008-04-09 14:04 --------- d-----w C:\Programme\aon
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

((((((((((((((((((((((((((((( snapshot@2008-06-06_11.37.44,33 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-06 09:10:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-06 10:40:37 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 14:49 16377344 C:\WINDOWS\RTHDCPL.EXE]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 14:00 144384]
"Device Detector"="C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" [2003-11-27 11:15 217088]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2004-04-02 14:57 66656]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-04-02 15:05 124128]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Programme\Google\Gmail Notifier\gnotify.exe" [2005-07-15 23:48 479232]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33 892928]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 11:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-02-26 11:34 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-02-26 11:34 155648]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-02-26 11:33 131072]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 21:16 286720]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinampAgent"="d:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-23 12:19 185896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 18:41 1232896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 16:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\Drivers\LCcFltr.Sys [2004-03-03 10:50]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05]
S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53]
S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39]
S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-02 08:41:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 12:42:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\searchindexer.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\WINDOWS\system32\searchprotocolhost.exe
C:\WINDOWS\system32\searchfilterhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 12:50:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-06 10:49:40
ComboFix2.txt 2008-06-06 09:37:59

19 Verzeichnis(se), 2,740,150,272 Bytes frei
20 Verzeichnis(se), 2,729,930,752 Bytes frei

183 --- E O F --- 2008-05-28 14:59:03

Geändert von fpet0401 (06.06.2008 um 12:43 Uhr)

Alt 06.06.2008, 14:07   #6
Sunny
Administrator
> Competence Manager
 
Trojaner Problem, escan log - Standard

Trojaner Problem, escan log



Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Zitat:

Nun würde ich dein System nochmal gründlich von Kaspersky und eScan untersuchen lassen, wenn danach keine Probleme mehr bestehen, sollte alles wieder im "grünen Bereich" sein.


Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________
--> Trojaner Problem, escan log

Alt 06.06.2008, 15:04   #7
fpet0401
 
Trojaner Problem, escan log - Standard

Trojaner Problem, escan log


Hallo Sunny,

erstmal vielen Dank für die Hilfe. Ich kann die letzten Anleitungen (Kaspersky) aus Zeitmangel leider nicht mehr ausführen. Die nächsten 2 Wochen habe ich Urlaub. Das bedeutet, ich werde das Ergebnis des Kaspersky-Durchlaufs am 23.6.08 posten.

Toll, daß die Hilfe so schnell und gut funktioniert.
Danke nochmals

Bis später

Peter

Antwort

Themen zu Trojaner Problem, escan log
.dll, administrator, backdoor, c:\windows\temp, content.ie5, crypto, dateisystem, einstellungen, escan, fehlalarm, infected, infiziert, internet, keylogger, log, maßnahme, mein log, problem, programme, rechnung.exe, registrierungsdatenbank, registry, software, sp3, spyware, system, system32, temp, trojaner, trojaner problem, virus, windows, windows xp, windows\temp


« TR/Buzus aus rechnung.exe | Help: TR/Dldr.ConHook.SM »


Ähnliche Themen: Trojaner Problem, escan log


  1. Escan melden Befall z.B. gain.gator, winfixer, fujacks worm, HJT Log und Escan Log
    Log-Analyse und Auswertung - 04.03.2008 (8)
  2. Trojaner/Adware Problem...eScan Auswertung inside..
    Plagegeister aller Art und deren Bekämpfung - 21.06.2007 (1)
  3. Entweder hat eScan ein Problem oder ich....
    Log-Analyse und Auswertung - 20.06.2007 (10)
  4. Habe TR/Crypt.XPACK.Gen und Problem mit eScan
    Plagegeister aller Art und deren Bekämpfung - 01.02.2007 (2)
  5. Trojaner - eScan
    Log-Analyse und Auswertung - 28.03.2006 (2)
  6. Problem mit escan 4.4.7
    Antiviren-, Firewall- und andere Schutzprogramme - 01.09.2005 (4)
  7. eScan Antivirus Toolkit Utility Problem!!
    Antiviren-, Firewall- und andere Schutzprogramme - 03.08.2005 (1)
  8. escan gibt 64 viren an, escan-checkb9 findet keine zu löschenden dateien
    Antiviren-, Firewall- und andere Schutzprogramme - 27.07.2005 (0)
  9. Problem mit eScan
    Plagegeister aller Art und deren Bekämpfung - 22.07.2005 (1)
  10. Problem mit eScan und IRC
    Antiviren-, Firewall- und andere Schutzprogramme - 20.06.2005 (4)
  11. Problem bei Download von escan
    Antiviren-, Firewall- und andere Schutzprogramme - 24.05.2005 (6)
  12. Problem mit eScan - löscht mIRC.exe
    Antiviren-, Firewall- und andere Schutzprogramme - 02.02.2005 (6)
  13. eScan logile - (Problem: AOL-Anmeldefenster)
    Log-Analyse und Auswertung - 21.01.2005 (6)
  14. Problem mit escan
    Log-Analyse und Auswertung - 18.01.2005 (1)
  15. Problem mit eScan
    Antiviren-, Firewall- und andere Schutzprogramme - 03.01.2005 (2)
  16. eScan ... Trojaner und Vieren auf dem PC
    Log-Analyse und Auswertung - 10.12.2004 (6)
  17. Problem mit eScan
    Log-Analyse und Auswertung - 03.08.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner Problem, escan log - Hallo Leute, ich hoffe ich bin hier richtig und kann Euch hier mein log von eScan zeigen. Ich bin noch etwas Trojaner-unerfahren und bitte um eine kleine Unterstützung. Vielen Dank - Trojaner Problem, escan log...
Archiv
Du betrachtest: Trojaner Problem, escan log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131