| |
| |||||||
Log-Analyse und Auswertung: Trojaner / Malware gefunden... Säuberungsmethode gesuchtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
24.07.2008, 12:57
| #1 |
| /// TB-Ausbilder     |  Trojaner / Malware gefunden... Säuberungsmethode gesucht Hi, Führe bitte folgendes Programm aus: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
27.07.2008, 14:20
| #2 |
| | Trojaner / Malware gefunden... Säuberungsmethode gesucht vielen dank für deine bisherige hilfe. antivir findet immer noch die rhcetej0e93l.exe und andere... ich lass mal noch 'nen kompletten avira scan drüber laufen! so wie's aussieht lassen die sich jetzt wirklich löschen.
__________________hier ist das combofix.log: ComboFix 08-07-26.1 - xxx 2008-07-27 15:00:14.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1506 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\yyy\Anwendungsdaten\rhcetej0e93l C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\AWA6YBDS\interclick.com C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\AWA6YBDS\interclick.com\ud.sol C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcetej0e93l C:\Programme\akl C:\Programme\akl\akl.dll C:\Programme\akl\akl.exe C:\Programme\akl\uninstall.exe C:\Programme\akl\unsetup.exe C:\Programme\Inet Delivery C:\Programme\Inet Delivery\inetdl.exe C:\Programme\Inet Delivery\intdel.exe C:\Programme\rhcetej0e93l C:\WINDOWS\a.bat C:\WINDOWS\base64.tmp C:\WINDOWS\bdn.com C:\WINDOWS\FVProtect.exe C:\WINDOWS\iTunesMusic.exe C:\WINDOWS\mslagent C:\WINDOWS\mslagent\2_mslagent.dll C:\WINDOWS\mslagent\mslagent.exe C:\WINDOWS\mslagent\uninstall.exe C:\WINDOWS\mssecu.exe C:\WINDOWS\system32\akttzn.exe C:\WINDOWS\system32\anticipator.dll C:\WINDOWS\system32\awtoolb.dll C:\WINDOWS\system32\B.tmp C:\WINDOWS\system32\bdn.com C:\WINDOWS\system32\blphcatej0e93l.scr C:\WINDOWS\system32\bsva-egihsg52.exe C:\WINDOWS\system32\dpcproxy.exe C:\WINDOWS\system32\emesx.dll C:\WINDOWS\system32\h@tkeysh@@k.dll C:\WINDOWS\system32\hoproxy.dll C:\WINDOWS\system32\hxiwlgpm.dat C:\WINDOWS\system32\hxiwlgpm.exe C:\WINDOWS\system32\medup012.dll C:\WINDOWS\system32\medup020.dll C:\WINDOWS\system32\msgp.exe C:\WINDOWS\system32\msnbho.dll C:\WINDOWS\system32\mssecu.exe C:\WINDOWS\system32\msvchost.exe C:\WINDOWS\system32\mtr2.exe C:\WINDOWS\system32\mwin32.exe C:\WINDOWS\system32\netode.exe C:\WINDOWS\system32\newsd32.exe C:\WINDOWS\system32\phcatej0e93l.bmp C:\WINDOWS\system32\pphcatej0e93l.exe C:\WINDOWS\system32\ps1.exe C:\WINDOWS\system32\psof1.exe C:\WINDOWS\system32\psoft1.exe C:\WINDOWS\system32\regc64.dll C:\WINDOWS\system32\regm64.dll C:\WINDOWS\system32\Rundl1.exe C:\WINDOWS\system32\smp C:\WINDOWS\system32\smp\msrc.exe C:\WINDOWS\system32\sncntr.exe C:\WINDOWS\system32\ssurf022.dll C:\WINDOWS\system32\ssvchost.com C:\WINDOWS\system32\ssvchost.exe C:\WINDOWS\system32\sysreq.exe C:\WINDOWS\system32\taack.dat C:\WINDOWS\system32\taack.exe C:\WINDOWS\system32\temp#01.exe C:\WINDOWS\system32\thun.dll C:\WINDOWS\system32\thun32.dll C:\WINDOWS\system32\VBIEWER.OCX C:\WINDOWS\system32\vbsys2.dll C:\WINDOWS\system32\vcatchpi.dll C:\WINDOWS\system32\winlogonpc.exe C:\WINDOWS\system32\winsystem.exe C:\WINDOWS\system32\WINWGPX.EXE C:\WINDOWS\userconfig9x.dll C:\WINDOWS\winsystem.exe C:\WINDOWS\zip1.tmp C:\WINDOWS\zip2.tmp C:\WINDOWS\zip3.tmp C:\WINDOWS\zipped.tmp . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_NPF -------\Service_sysrest.sys ((((((((((((((((((((((( Dateien erstellt von 2008-06-27 bis 2008-07-27 )))))))))))))))))))))))))))))) . 2008-07-27 15:03 . 2008-07-27 15:03 110,080 --a------ C:\WINDOWS\system32\axchkziz.exe 2008-07-27 14:55 . 2008-07-27 14:55 <DIR> d-------- C:\Programme\CCleaner 2008-07-20 17:42 . 2008-07-20 17:42 <DIR> d-------- C:\Programme\Trend Micro 2008-07-17 16:52 . 2008-07-25 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cfgmsgutil 2008-07-17 16:52 . 2008-07-20 17:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\appgen 2008-07-16 23:07 . 2008-07-16 23:07 <DIR> d-------- C:\Programme\lyxrjte 2008-07-16 23:07 . 2008-07-16 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hspunidy 2008-06-30 17:53 . 2008-06-30 17:53 <DIR> d-------- C:\Dokumente und Einstellungen\yyy\Anwendungsdaten\Apple Computer . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-27 13:04 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype 2008-07-27 11:46 --------- d-----w C:\Programme\ICQToolbar 2008-07-27 08:47 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\skypePM 2008-07-26 13:44 --------- d-----w C:\Dokumente und Einstellungen\yyy\Anwendungsdaten\OpenOffice.org2 2008-07-20 15:42 --------- d-----w C:\Programme\LucasArts 2008-07-15 16:47 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2 2008-06-19 15:47 --------- d-----w C:\Dokumente und Einstellungen\yyy\Anwendungsdaten\ICQ Toolbar 2008-06-16 05:24 --------- d-----w C:\Dokumente und Einstellungen\yyy\Anwendungsdaten\Touchstone 2008-06-15 17:27 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\gtk-2.0 2008-06-13 17:18 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Touchstone 2008-06-13 17:17 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-13 16:06 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-13 16:05 --------- d-----w C:\Programme\Touchstone 2008-06-13 16:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-13 16:05 --------- d-----w C:\Programme\AGEIA Technologies 2008-06-04 20:41 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus 2008-05-30 11:06 --------- d-----w C:\Dokumente und Einstellungen\yyy\Anwendungsdaten\Skype 2008-05-30 11:06 --------- d-----w C:\Dokumente und Einstellungen\yyy\Anwendungsdaten\DivX 2008-05-30 11:04 --------- d-----w C:\Dokumente und Einstellungen\yyy\Anwendungsdaten\Participatory Culture Foundation 2008-04-12 18:46 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-04-07 08:27 1 ----a-w C:\Dokumente und Einstellungen\xxx\SI.bin . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "Start WingMan Profiler"="C:\Programme\Logitech\Profiler\lwemon.exe" [2004-04-23 15:28 77824] "DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 01:09 486856] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 17:22 21898024] "ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 15:45 266497] "H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2007-12-11 05:59 307200] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-28 15:12 222720] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744] "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] "PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 18:15 1634304] [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "7RkqZ3ihzB"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hspunidy\xezilwfo.exe" [2008-07-16 23:07 61440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "MonEnUtil"= {14649094-1446-7905-EF1C-01377A72D2D9} - C:\Programme\lyxrjte\MonEnUtil.dll [2008-07-16 23:07 122880] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] --------- 2005-10-11 20:25 1961984 C:\Programme\Ahead\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 17:40 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] --a------ 2006-11-28 15:12 222720 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2006-01-11 16:08 577536 C:\WINDOWS\soundman.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08] S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 09:42] S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 09:42] S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 09:42] S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 09:42] S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 09:42] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ab2dd39-c9ef-11dc-8953-0016e6543d3c}] \Shell\AutoRun\command - K:\progs\portableapps\PortableApps\PortableAppsMenu\PortableAppsMenu.exe . Inhalt des "geplante Tasks" Ordners 2008-07-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - s!16C:\Programme\Apple Software Update\SoftwareUpdate.exe-taskSYSTEM01 [] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - HKLM-Run-SMrhcetej0e93l - C:\Programme\rhcetej0e93l\rhcetej0e93l.exe MSConfigStartUp-WinampAgent - C:\Programme\Winamp\winampa.exe . ------- Zus„tzlicher Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://start.icq.com/ R1 -: HKCU-Internet Settings,ProxyOverride = *.local O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd O16 -: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} - hxxp://install.anark.com/client/version4/windows-ie/en/AMClient.cab C:\WINDOWS\Downloaded Program Files\InstallClient.inf ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-27 15:03:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\RealVNC\VNC4\winvnc4.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\guardgui.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-27 15:09:09 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-07-27 13:09:06 Pre-Run: 9 Verzeichnis(se), 103,784,079,360 Bytes frei Post-Run: 11 Verzeichnis(se), 104,552,374,272 Bytes frei 239 Geändert von nietzschean (27.07.2008 um 14:41 Uhr) |
|
| Themen zu Trojaner / Malware gefunden... Säuberungsmethode gesucht |
| anleitung, anschluss, anwendungen, automatisch, autostart, combofix, desktop, dvd, falsche, folge, infektion, initiative, klick, laufwerke, log, malware, maus, maus und tastatur, nicht starten, programm, programme, sich automatisch, starten, tastatur, tool, trojaner, usb, warnmeldungen, öffnet, öffnet sich automatisch |
Linear-Darstellung
