Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?

Mats · 13.10.2008, 06:50

Hallo Forum
Ich habe den Trojaner "Silentbanker G" auf meinem PC (gehabt?) Ich arbeite mit onlinebanking. Ich kam plötzlich nicht an meine Kontoübersicht, nachdem ich mich einloggen wollte. Stattdessen wurde ich aufgefordert, aufgrund eines "unberechtigten Zugriffs" auf mein Konto zehn Tans einzugeben, um mein Konto wieder zu aktivieren. Das war vor 10 Tagen. Ich sprach mit der Hotline der Bank und die Herren schlugen sofort Alarm. Niemals Tans eingeben!!! Logo, aber die Website war täuschend echt, nur die links funktionierten nicht. Soweit so gut. Habe dann mein onlinebanking gesperrt, bevor es in Uraub ging. Als ich gestern denn PC startete, kam es zum Update von Avira Antivir. Und siehe da: TR/silentbanker.G wurde gefunden.
Nach Durchsicht und Infos des Forums lief ich Combofix laufen. Ergebnis: Es wird kein Trojaner mehr gefunden. War es das? Oder schlummert der Trojaner nur?
Als ich combofix ausgeführt habe, bekam ich von Avira eine Meldung, dass Combofix einen Trojaner beinhaltet. Hatte AV nicht abgeschaltet. Quarantäne angeordnet und weiter...ohne Probleme. (War das okay???)
Soll ich combofix besser erneut ausführen?

Danke für Antworten!!!

CU Mats

cosinus · 14.10.2008, 20:44

Hallo,

wenn Du schon einfach so diese Programme ausführst, ohne dass Dir ein Regular oder Kompetenzler dazu rät, warum postest Du denn nicht einmal die Logfiles davon? Wie soll man ohne die überhaupt eine vernünftige Aussage machen??

Reiche die bitte nach.

Erstell auch bitte eins von HijackThis und Malwarebytes.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Mats · 17.10.2008, 09:06

Ich versuche also mal, die logfiles zu posten:
Combofix:
(code)ComboFix 08-10-11.02 - **** 2008-10-12 14:38:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.694 [GMT 2:00]
ausgeführt von:: I:\DISK\Antivirenprogramme\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-12 14:34 . 2008-10-12 14:34 <DIR> d-------- C:\Programme\CCleaner
2008-10-12 14:16 . 2008-10-12 14:16 <DIR> d-------- C:\program files
2008-10-12 09:50 . 2008-10-12 09:51 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-12 09:50 . 2008-10-12 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Malwarebytes
2008-10-12 09:50 . 2008-10-12 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-12 09:50 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-12 09:50 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-04 13:27 . 2008-10-04 13:27 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-10-04 13:26 . 2008-10-04 13:27 <DIR> d-------- C:\Programme\The Cleaner Demo
2008-10-04 13:14 . 2008-10-04 13:14 <DIR> d-------- C:\Programme\Lavasoft
2008-10-04 13:14 . 2008-10-04 13:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-04 12:48 . 2008-10-04 12:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-04 12:29 . 2008-10-04 12:29 <DIR> d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-10-04 12:29 . 2008-10-04 12:29 <DIR> d-------- C:\Programme\SDHelper (Spybot - Search & Destroy)
2008-10-04 12:27 . 2008-10-04 12:35 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-04 12:27 . 2008-10-12 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-04 11:13 . 2008-10-04 11:13 <DIR> d---s---- C:\Dokumente und Einstellungen\******\UserData
2008-10-02 21:31 . 2008-10-02 21:31 <DIR> d-------- C:\Programme\MSXML 4.0
2008-10-01 20:08 . 2008-10-03 11:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-01 20:08 . 2008-10-01 20:08 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-01 20:06 . 2008-10-12 12:19 9,433 --a------ C:\logfile
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-10-01 20:03 . 2008-10-01 20:04 <DIR> d-------- C:\Programme\QuickTime
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Kodak
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-01 20:03 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-10-01 20:03 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-10-01 20:03 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-10-01 20:03 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-10-01 20:02 . 2008-10-01 20:03 <DIR> d-------- C:\Programme\Kodak
2008-10-01 20:00 . 2008-10-01 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak
2008-09-30 18:01 . 2008-09-30 18:20 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-27 17:52 . 2008-09-27 17:52 58 --a------ C:\WINDOWS\nfsc_patch.ini
2008-09-27 17:43 . 2008-09-27 17:43 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-09-27 17:10 . 2008-09-27 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-09-27 17:08 . 2008-04-30 17:27 442,368 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-09-26 17:41 . 2008-09-26 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2008-09-26 17:30 . 2008-09-27 17:08 <DIR> d-------- C:\NVIDIA
2008-09-26 17:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-26 17:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-26 11:46 . 2008-09-26 17:47 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-26 11:46 . 2005-02-25 05:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-19 17:13 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Vorlagen
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Startmenü
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Netzwerkumgebung
2008-09-19 17:13 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Lokale Einstellungen
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Favoriten
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Eigene Dateien
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Druckumgebung
2008-09-19 17:13 . 2008-09-19 17:14 <DIR> dr-h----- C:\Dokumente und Einstellungen\Besucher\Anwendungsdaten
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\Dokumente und Einstellungen\Besucher
2008-09-19 16:20 . 2008-09-19 17:08 <DIR> d-------- C:\coolspot AG
2008-09-19 16:20 . 2008-09-19 17:09 20,645 --a------ C:\WINDOWS\system32\drivers\IwUSB.sys
2008-09-17 19:26 . 2008-09-17 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TomTom
2008-09-17 18:25 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-09-17 17:56 . 2008-09-17 17:56 <DIR> d-------- C:\Programme\Avira
2008-09-17 17:56 . 2008-09-17 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-17 17:48 . 2008-09-17 17:48 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\AdobeUM
2008-09-16 20:13 . 2008-09-16 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2008-09-16 20:13 . 2008-09-16 20:13 361 --a------ C:\WINDOWS\system32\QuickTime.qtp
2008-09-16 20:12 . 2008-09-16 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\******\WINDOWS
2008-09-16 20:12 . 1997-05-29 16:31 315,904 --a------ C:\WINDOWS\IsUn0407.exe
2008-09-16 20:12 . 2008-09-16 20:12 0 --a------ C:\WINDOWS\OpPrintServer.INI
2008-09-16 20:10 . 2008-09-16 20:12 <DIR> d-------- C:\Programme\Canon
2008-09-15 09:05 . 2008-09-23 17:57 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-13 20:50 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-09-13 20:50 . 2008-09-13 23:07 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-09-13 20:50 . 2008-10-01 20:06 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-09-13 20:48 . 2008-09-13 20:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-09-13 20:48 . 2008-10-12 09:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-09-13 20:47 . 2008-09-13 20:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-09-13 20:47 . 2008-09-13 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-09-13 20:09 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Vorlagen
2008-09-13 20:09 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\******\Startmenü
2008-09-13 20:09 . 2008-09-27 14:04 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Netzwerkumgebung
2008-09-13 20:09 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Lokale Einstellungen
2008-09-13 20:09 . 2008-09-13 20:25 <DIR> dr------- C:\Dokumente und Einstellungen\******\Favoriten
2008-09-13 20:09 . 2008-09-17 19:53 <DIR> dr------- C:\Dokumente und Einstellungen\******\Eigene Dateien
2008-09-13 20:09 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Druckumgebung
2008-09-13 20:09 . 2008-10-12 09:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\*****\Anwendungsdaten
2008-09-13 20:09 . 2008-10-12 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\******
2008-09-13 20:06 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService
2008-09-13 20:06 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService
2008-09-13 20:05 . 2008-09-13 19:58 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Vorlagen
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmenü
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Netzwerkumgebung
2008-09-13 20:05 . 2008-10-12 14:39 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoriten
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Druckumgebung
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten
2008-09-13 20:02 . 2008-09-13 20:02 <DIR> d-------- C:\Programme\microsoft frontpage
2008-09-13 20:01 . 2008-09-20 12:08 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users\DRM
2008-09-13 20:00 . 2008-09-13 20:00 <DIR> d-------- C:\Programme\Online-Dienste
2008-09-13 20:00 . 2008-09-13 20:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Dienste

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-27 15:53 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-09-17 17:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-16 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-13 21:08 --------- d-----w C:\Programme\CREATIVE
2008-09-13 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-09-13 17:30 --------- d-----w C:\Programme\Ahead
2008-09-13 17:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-09-13 17:24 --------- d-----w C:\Programme\SiS7012
2008-09-13 17:15 --------- d-----w C:\Programme\CyberLink
2008-09-13 17:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-09-13 17:10 --------- d-----w C:\Programme\Microsoft IntelliPoint
2008-09-13 17:09 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2008-09-13 16:50 --------- d-----w C:\Programme\UltimateZip
2008-09-13 16:49 --------- d-----w C:\Programme\xp-AntiSpy
2008-09-13 16:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-13 16:29 --------- d-----w C:\Programme\sisagp
2008-09-13 16:12 --------- d-----w C:\Programme\DVD Shrink
2008-09-13 16:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-09-13 16:07 --------- d-----w C:\Programme\Lavalys
2008-09-13 16:06 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-28 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 86016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 286720]
"nwiz"="nwiz.exe" [2008-05-03 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-28 15360]

C:\Dokumente und Einstellungen\******\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - C:\Programme\UltimateZip\uzqkst.exe [2001-09-05 229888]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Kodak EasyShare Software.lnk - C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-09-19 282624]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= 1625564991.CPX

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Steam\\SteamApps\\magicmats\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

R3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2008-09-19 20645]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2004-11-03 267136]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-01 C:\WINDOWS\Tasks\EasyShare Registration Task.job
- C:\WINDOWS\system32\rundll32.exe [2004-08-28 13:53]
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.faz.net/s/homepage.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 14:39:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 14:40:38
ComboFix-quarantined-files.txt 2008-10-12 12:40:36

Vor Suchlauf: 8 Verzeichnis(se), 43.486.162.944 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 43,487,707,136 Bytes frei

206 --- E O F --- 2008-10-04 07:04:07
(/code)

War das richtig so? Ich hoffe....Vielen Dank für Hilfe!!!!

Mats · 17.10.2008, 09:13

Hier das Logfile von HiJackThis:
#Logfile of HijackThis v1.98.2
Scan saved at 12:51:09, on 16.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
I:\DISK\Schutzprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Aktuell - FAZ.NET
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
#

Mats · 17.10.2008, 09:41

Logfile von Malwarebytes:
(code)Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1259
Windows 5.1.2600 Service Pack 3

17.10.2008 10:35:44
mbam-log-2008-10-17 (10-35-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 161530
Laufzeit: 50 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)(/code)

Vielen Dank für Hilfe!

cosinus · 20.10.2008, 11:47

Die Logfiles an sich sehen okay aus, mach aber nochmal bitte nen Check mit Blacklight und poste das Logfile davon in Codetags!

Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

registry values to delete:
HKLM\software\microsoft\windows nt\currentversion\drivers32 | wave1

files to delete:
c:\windows\1625564991.CPX
c:\windows\system32\1625564991.CPX
c:\windows\system32\drivers\1625564991.CPX

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Mats · 21.10.2008, 21:08

Okay, ich werde es versuchen, step by step...
Hier der logfile von "blacklight":

Code:

ATTFilter

 10/21/08 21:47:45 [Info]: BlackLight Engine 2.2.1092 initialized
10/21/08 21:47:45 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/21/08 21:47:45 [Note]: 7019 4
10/21/08 21:47:45 [Note]: 7005 0
10/21/08 21:47:53 [Note]: 7006 0
10/21/08 21:47:53 [Note]: 7011 424
10/21/08 21:47:53 [Note]: 7035 0
10/21/08 21:47:53 [Note]: 7026 0
10/21/08 21:47:53 [Note]: 7026 0
10/21/08 21:47:55 [Note]: FSRAW library version 1.7.1024
10/21/08 21:51:44 [Note]: 7007 0

Geht erst morgen weiter...der Job lässt nicht mehr Zeit zu...
root 24, ich danke Dir!!

trojan-death · 21.10.2008, 21:23

Zitat:

Zitat von root24

Die Logfiles an sich sehen okay aus,

@root24 Nur ganz kurz.... hast's wahrscheinlich übersehen

Zitat:

Zitat von mats

Logfile of HijackThis v1.98.2

grüsse trojan-death

cosinus · 21.10.2008, 22:52

Zitat:

Zitat von trojan-death

@root24 Nur ganz kurz.... hast's wahrscheinlich übersehen

grüsse trojan-death

Jo, das uralte HijackThis hab ich voll übersehen

Mats · 22.10.2008, 05:45

Silent Runner:

Code:

ATTFilter

 "Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"type32" = ""C:\Programme\Microsoft IntelliType Pro\type32.exe"" [MS]
"IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\point32.exe"" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{2F860D81-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Shell Extension"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]
"{97FA8AA2-EE77-4FF2-9449-424D8924EF21}" = "IntelliType Pro Zooming Control Panel Property Page"
  -> {HKLM...CLSID} = "IntelliType Pro Zooming Property Page"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplzm.dll"" [MS]
"{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB}" = "IntelliType Pro Scrolling Control Panel Property Page"
  -> {HKLM...CLSID} = "IntelliType Pro Scrolling Property Page"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll"" [MS]
"{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2}" = "IntelliType Pro Key Settings Control Panel Property Page"
  -> {HKLM...CLSID} = "IntelliType Pro Key Settings Property Page"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplkey.dll"" [MS]
"{A2569D1F-4E06-43EC-9825-0088B471BE47}" = "IntelliType Pro Wireless Control Panel Property Page"
  -> {HKLM...CLSID} = "IntelliType Pro Wireless Control Panel Property Page"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwir.dll"" [MS]
"{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"
  -> {HKLM...CLSID} = "Schnurlose Eigenschaften"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS]
"{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"
  -> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]
"{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"
  -> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS]
"{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"
  -> {HKLM...CLSID} = "Tasten-Eigenschaftenseite"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "J:\Eigene Bilder\SLK 200\SLK 1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "J:\Eigene Bilder\SLK 200\SLK 1.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

CanonZB4PicturesOnArrival\
"Provider" = "ZoomBrowser EX"
"InvokeProgID" = "Zb.AutoplayHandler"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Zb.AutoplayHandler\shell\open\command\(Default) = "C:\Programme\Canon\ZoomBrowser EX\Program\ZoomBrowser.exe /AUTOPLAY "%1"" [empty string]

NeroAutoPlay2CDAudio\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CopyCD\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2DataDisc\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2LaunchNeroStartSmart\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]

PDVDPlayDVDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]

PTSOnArrivalHandler\
"Provider" = "Kodak EasyShare software"
"InvokeProgID" = "Ptswia.WiaEvents.1"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Ptswia.WiaEvents.1\shell\open\DropTarget\CLSID = "{66A41C80-C64A-45A9-8BC9-0D58DE47C007}"
  -> {HKLM...CLSID} = "WiaEvents Class"
                   \LocalServer32\(Default) = ""C:\Programme\Kodak\Kodak EasyShare software\bin\ptswia.exe"" [null data]


Startup items in "Markus" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Kodak EasyShare Software" -> shortcut to: "C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe -hx" ["Eastman Kodak Company"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"EasyShare Registration Task" -> launches: "C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kodak\EasyShareSetup\$REGIS~1\Registration_7.5.20.2.sxt _RegistrationOffer@16" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{64FD35CE-4D5C-4ABF-9A46-BB9DF4616684}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Lavasoft Ad-Aware Service, aawservice, "C:\Programme\Lavasoft\Ad-Aware\aawservice.exe" ["Lavasoft"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


---------- (launch time: 2008-10-22 06:37:05)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 89 seconds.
---------- (total run time: 155 seconds)

Werde ein neues HijackThis Log erstellen und posten...
Thanks!

Mats · 22.10.2008, 05:59

Das neue Logfile von Hijackthis:

Code:

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:49:27, on 22.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://XXX.faz.net/s/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htXp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5197 bytes

Programme wie Thunderbird und Mozilla Firefox habe ich erst nach dem Trojanerfund installiert, als ich gelesen habe, dass sie sicherer sind. Ich hoffe, das ist nicht wichtig für die Auswertung der Logfiles.

Mats · 22.10.2008, 06:21

Das nächste Listing klappt irgendwie nicht, oder die Datei ist doch deutlich kleiner, als erwartet: Ich post mal das, was in dem Skript steht:

Code:

ATTFilter

 echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt
%systemdrive%
cd\
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ SYSTEM32 ---" >> %temp%\listing.txt
cd %windir%
cd system32
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Installations"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Program Files"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt
cd %windir%
cd system32
cd drivers
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PREFETCH ---" >> %temp%\listing.txt
cd %windir%
cd prefetch
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ TASKS ---" >> %temp%\listing.txt
cd %windir%
cd tasks
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR ---" >> %temp%\listing.txt
cd %windir%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt
cd system
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt
cd %windir%
cd temp
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ USER\TEMP ---" >> %temp%\listing.txt
cd %temp%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ ALLUSERS ---" >> %temp%\listing.txt
cd %allusersprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USERS ---" >> %temp%\listing.txt
cd %userprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

cd %temp%
copy /y listing.txt "%userprofile%"\desktop\listing.txt

Okay so?Oder mache ich etwas falsch?

Mats · 22.10.2008, 06:33

Okay, auch hier das logfile:

Code:

ATTFilter

 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\1625564991.CPX" not found!
Deletion of file "c:\windows\1625564991.CPX" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\1625564991.CPX" not found!
Deletion of file "c:\windows\system32\1625564991.CPX" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\1625564991.CPX" not found!
Deletion of file "c:\windows\system32\drivers\1625564991.CPX" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry value "HKLM\software\microsoft\windows nt\currentversion\drivers32|wave1" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Jetzt bin ich auf die Auswertung gespannt...Ich hoffe, vielen Forumsnutzern ist dies eine Hilfe.
CU

Mats · 22.10.2008, 08:35

Hi root24
Das vorletzte Listing hat nicht funktioniert. Ich bekam keine txt Datei auf den Desktop. Habe wahrscheinlich den Inhalt des Sriptes gepostet...sorry.
Auf meinem Firmen PC habe ich es ausprobiert und dort hat es auch funktioniert. Versuche es später nocheinmal, oder woran könnte es liegen?
Das Fenster im ? Dos-modus? (so sah es für mich aus) ging gar nicht auf.

Alles wird gut...hoffentlich....

cosinus · 22.10.2008, 10:22

Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben

Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.