| |
| |||||||
Log-Analyse und Auswertung: TR/Patched.CK.56 Befall und WeitereWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.01.2009, 20:00
| #1 |
| |  TR/Patched.CK.56 Befall und Weitere Hallo Leute da ich neu bin und nicht so die Ahnung habe vom PC frage ich hiermal. Habe die Sufu Benutzt und 2-3 Themen Gefunden zu meinem Prob aber da ich denke das ihr das Log von mir braucht um mir Zu helfen dachte ich es wäre das Richtige einen Neuen Thread aufzumachen. Also mein Antivir sagt mir Ich hätte TR/Vundo.Gen / TR/Crypt.PEPM.Gen' / TR/Patched.CK.56 / TR/Agent.ET.1 drauf und wäre davon Befallen. Nun weiss ich nicht ob das die Gleichen sind oder jeder für sich ein Einzelnder. Und ausserdem weiss ich nicht wo ich mir das Eingefangen haben könnte. Und ausserdem wie in den Anderen Threads lassen sich die Dateien nicht Löschen und die Warnungen Poppen immerwieder auf. Nun mein Hijack Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:58:51, on 08.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDLL32.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Labtec\WebCam10\WebCam10.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: ooVoo Toolbar - {A057A204-BACC-4D26-8087-36EE87E26986} - C:\Programme\oovooToolbar\oovooToolbar.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: ooVoo Toolbar - {A057A204-BACC-4D26-8087-36EE87E26986} - C:\Programme\oovooToolbar\oovooToolbar.dll O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Comcenter Easy] C:\Programme\FAX.de\ComCenter\ComCenterEasy.exe O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [oovoo.exe] C:\Programme\ooVoo\oovoo.exe /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe Hoffe ihr werdet daraus schlau und könnt mir vlt. Weiterhelfen das Loszuwerden. Wäre euch euch Verbunden wenn ihr euch das mal anscheuan würdet. MfG Arkoni aka Florian PS: Falls ich was Vergessen habe sagt es mir Bitte. |
|
08.01.2009, 20:10
| #2 |
| /// the machine /// TB-Ausbilder    | TR/Patched.CK.56 Befall und Weitere hi,
__________________wo wurden denn die funde gemacht? lass bitte mal malwarebytes Anti-Malware laufen und poste das log.
__________________ |
|
08.01.2009, 20:49
| #3 |
| | TR/Patched.CK.56 Befall und Weitere Es hat etwas gedauert aber es ist da.
__________________Malwarebytes' Anti-Malware 1.32 Datenbank Version: 1632 Windows 5.1.2600 Service Pack 2 08.01.2009 20:48:47 mbam-log-2009-01-08 (20-48-43).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 141774 Laufzeit: 21 minute(s), 55 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\PC2\Lokale Einstellungen\Temp\winsinstall.exe (Rogue.Installer) -> No action taken. C:\Dokumente und Einstellungen\PC2\Lokale Einstellungen\Temp\cewaormxsn.tmp (Rogue.Installer) -> No action taken. C:\Dokumente und Einstellungen\PC2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NU8JU06E\winsinstall[1].exe (Rogue.Installer) -> No action taken. C:\WINDOWS\system32\senekavltdcgpq.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\senekawtnfxqdm.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\senekadf.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\seneka.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\senekalog.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\senekapphvbyob.sys (Trojan.Agent) -> No action taken. |
|
08.01.2009, 20:51
| #4 |
| /// the machine /// TB-Ausbilder | TR/Patched.CK.56 Befall und Weitere ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
08.01.2009, 21:10
| #5 |
| | TR/Patched.CK.56 Befall und Weitere Man sagt mir immer ich dürfte nur 8 Smileys Benutzen hätte aber mehr als 10 im Text drin. SOll ich die Text datei iwo Hochladen oder so? |
|
08.01.2009, 21:26
| #6 |
| | TR/Patched.CK.56 Befall und Weitere Weiss jmd was ich da machen kann? Weil ich es anscheinend nicht Geschrieben bekomme hier |
|
08.01.2009, 22:30
| #7 |
| /// the machine /// TB-Ausbilder | TR/Patched.CK.56 Befall und Weitere setz die datei mal in code-tags, vielleicht geht es dann. schreibe [code]dann dein logfile, und am schluss nochmal [/code]
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
09.01.2009, 11:19
| #8 |
| | TR/Patched.CK.56 Befall und WeitereCode:
ATTFilter ComboFix 09-01-08.01 - PC2 2009-01-08 21:02:12.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2047.1592 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\PC2\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\IE4 Error Log.txt
c:\windows\system32\drivers\seneka.sys
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_seneka
((((((((((((((((((((((( Dateien erstellt von 2008-12-08 bis 2009-01-08 ))))))))))))))))))))))))))))))
.
2009-01-08 20:12 . 2009-01-08 20:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-08 20:12 . 2009-01-08 20:12 <DIR> d-------- c:\dokumente und einstellungen\PC2\Anwendungsdaten\Malwarebytes
2009-01-08 20:12 . 2009-01-08 20:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-08 20:12 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-08 20:12 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-08 19:53 . 2009-01-08 19:53 73,216 --a------ c:\windows\system32\ffkuz.dll
2009-01-08 19:51 . 2009-01-08 19:51 <DIR> d-------- c:\programme\Trend Micro
2009-01-08 19:40 . 2009-01-08 19:40 <DIR> d-------- C:\VundoFix Backups
2008-12-28 00:13 . 2009-01-08 19:22 <DIR> d-------- c:\programme\oovooToolbar
2008-12-28 00:13 . 2009-01-08 19:29 <DIR> d-------- c:\dokumente und einstellungen\PC2\Anwendungsdaten\oovooToolbar
2008-12-28 00:13 . 2008-12-28 00:15 <DIR> d-------- c:\dokumente und einstellungen\PC2\Anwendungsdaten\ooVoo Details
2008-12-28 00:00 . 2004-08-03 23:10 85,376 --a------ c:\windows\system32\drivers\NABTSFEC.sys
2008-12-28 00:00 . 2004-08-03 23:07 59,264 --a------ c:\windows\system32\drivers\USBAUDIO.sys
2008-12-28 00:00 . 2004-08-03 23:10 19,328 --a------ c:\windows\system32\drivers\WSTCODEC.SYS
2008-12-28 00:00 . 2004-08-03 23:10 17,024 --a------ c:\windows\system32\drivers\CCDECODE.sys
2008-12-28 00:00 . 2004-08-04 00:58 16,384 --a------ c:\windows\system32\ipsink.ax
2008-12-28 00:00 . 2004-08-03 23:10 15,360 --a------ c:\windows\system32\drivers\StreamIP.sys
2008-12-28 00:00 . 2004-08-03 23:10 11,136 --a------ c:\windows\system32\drivers\SLIP.sys
2008-12-28 00:00 . 2004-08-03 23:10 10,880 --a------ c:\windows\system32\drivers\NdisIP.sys
2008-12-28 00:00 . 2004-08-03 22:58 5,504 --a------ c:\windows\system32\drivers\MSTEE.sys
2008-12-27 23:59 . 2004-08-04 00:58 91,136 --a------ c:\windows\system32\kswdmcap.ax
2008-12-27 23:59 . 2004-08-04 00:58 61,952 --a------ c:\windows\system32\kstvtune.ax
2008-12-27 23:59 . 2004-08-04 00:57 54,272 --a------ c:\windows\system32\vfwwdm32.dll
2008-12-27 23:59 . 2004-08-04 00:58 43,008 --a------ c:\windows\system32\ksxbar.ax
2008-12-27 23:59 . 2004-08-04 00:58 28,672 --a------ c:\windows\system32\vidcap.ax
2008-12-27 23:56 . 2008-12-27 23:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\Labtec
2008-12-27 23:56 . 2007-03-06 17:48 1,273,504 --a------ c:\windows\system32\drivers\LV302V32.SYS
2008-12-27 23:56 . 2007-03-06 17:54 527,136 --a------ c:\windows\system32\LVUI2RC.dll
2008-12-27 23:56 . 2003-02-21 04:42 348,160 --a------ c:\windows\system\msvcr71.dll
2008-12-27 23:56 . 2007-03-06 17:50 264,992 --a------ c:\windows\system32\lvcodec2.dll
2008-12-27 23:56 . 2007-03-06 17:54 215,840 --a------ c:\windows\system32\LVUI2.dll
2008-12-27 23:56 . 2007-03-06 17:51 129,824 --a------ c:\windows\system32\lvci1051.dll
2008-12-27 23:56 . 2007-03-06 16:02 51,370 --a------ c:\windows\system32\lvcoinst.ini
2008-12-27 23:56 . 2007-03-06 17:54 41,376 --a------ c:\windows\system32\drivers\LVUSBSta.sys
2008-12-27 23:56 . 2007-03-06 17:48 14,240 --a------ c:\windows\system32\drivers\lv302af.sys
2008-12-27 23:56 . 2007-03-06 16:03 13,398 --a------ c:\windows\system32\Repository.reg
2008-12-27 23:55 . 2008-12-27 23:55 <DIR> d-------- c:\programme\Labtec
2008-12-27 23:55 . 2008-12-27 23:55 <DIR> d-------- c:\programme\Gemeinsame Dateien\LogiShrd
2008-12-27 23:47 . 2002-06-28 23:48 12,900 --a------ c:\windows\system32\drivers\kbfilter.sys
2008-12-24 15:43 . 2008-12-24 15:43 <DIR> d--hs---- c:\windows\ftpcache
2008-12-17 22:40 . 2008-12-17 22:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\GameHouse
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-08 20:04 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\Skype
2009-01-08 19:21 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-01-08 18:29 --------- d-----w c:\programme\AskBarDis
2009-01-08 18:28 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\teamspeak2
2008-12-31 16:49 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\ICQ
2008-12-27 23:13 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-07 01:10 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\uTorrent
2008-12-03 17:55 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-24 14:45 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\Acreon
2008-11-24 01:19 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2008-11-24 01:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2008-11-23 18:32 --------- d-----w c:\programme\Java
2008-11-23 18:11 --------- d-----w c:\programme\Windows Media Connect 2
2008-11-23 18:11 --------- d-----w c:\programme\Windows Live Toolbar
2008-12-20 08:38 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-20 08:38 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-20 08:38 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-20 08:38 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-20 08:38 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 10:32 279944 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-8087-36EE87E26986}]
2008-12-11 20:08 1912280 --a------ c:\programme\oovooToolbar\oovooToolbar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{A057A204-BACC-4D26-8087-36EE87E26986}"= "c:\programme\oovooToolbar\oovooToolbar.dll" [2008-12-11 1912280]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A057A204-BACC-4D26-8087-36EE87E26986}"= "c:\programme\oovooToolbar\oovooToolbar.dll" [2008-12-11 1912280]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-8087-36ee87e26986}]
[HKEY_CLASSES_ROOT\oovooToolbar.OOVOOTOOLBAR]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-09-13 22880040]
"ICQ"="d:\icq6\ICQ.exe" [2008-09-01 173304]
"Steam"="d:\steam\Steam.exe" [2008-11-24 1410296]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-18 7618560]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"StatusClient 2.6"="c:\programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-12 61440]
"TomcatStartup 2.5"="c:\programme\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-02-12 163840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="c:\programme\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
"NvMediaCenter"="NvMCTray.dll" [2006-10-18 c:\windows\system32\nvmctray.dll]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a--c--- 2007-03-12 12:49 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a--c--- 2005-05-19 14:47 57344 c:\programme\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 13:00 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]
-r------- 2006-06-02 09:45 385024 c:\windows\system32\JMRaidTool.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a--c--- 2006-04-13 10:09 49152 c:\programme\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2007-03-09 17:53 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-18 03:03 7618560 c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-18 03:03 86016 c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
-----c--- 2005-12-07 21:57 30208 c:\programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a--c--- 2006-04-10 08:19 729088 c:\programme\Analog Devices\SoundMAX\SMax4.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
-ra--c--- 2006-05-01 11:07 843776 c:\programme\Analog Devices\Core\smax4pnp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-18 03:03 1519616 c:\windows\system32\nwiz.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\ICQ6\\ICQ.exe"=
"d:\\Steam\\steamapps\\powercore\\counter-strike\\hl.exe"=
"d:\\Torrent\\uTorrent.exe"=
"d:\\Programme\\ooVoo\\ooVoo.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"443:TCP"= 443:TCP:*:Disabled:ooVoo TCP Port 443
"443:UDP"= 443:UDP:*:Disabled:ooVoo UDP Port 443
"37674:TCP"= 37674:TCP:*:Disabled:ooVoo TCP Port 37674
"37674:UDP"= 37674:UDP:*:Disabled:ooVoo UDP Port 37674
"37675:UDP"= 37675:UDP:*:Disabled:ooVoo UDP Port 37675
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [2008-12-27 12900]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\PCgo.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{49ffd26d-15b4-11dd-8fdd-001a9204af68}]
\Shell\AutoRun\command - g:\win32\AppWizard.exe
.
Inhalt des "geplante Tasks" Ordners
2009-01-08 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-Comcenter Easy - c:\programme\FAX.de\ComCenter\ComCenterEasy.exe
HKCU-Run-oovoo.exe - c:\programme\ooVoo\oovoo.exe
HKCU-Run-neu - (no file)
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hotmail.de/
uInternet Settings,ProxyOverride = <local>;*.local
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-08 21:04:22
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
c:\windows\system32\wscntfy.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-08 21:06:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-08 20:06:14
Vor Suchlauf: 14 Verzeichnis(se), 14.924.988.416 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 15,067,672,576 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
244 --- E O F --- 2008-12-18 21:38:51
|
|
09.01.2009, 19:42
| #9 | |
| /// the machine /// TB-Ausbilder | TR/Patched.CK.56 Befall und Weitere Scripten mit Combofix
Zitat:
 ====== malwarebytes updaten, komplettscan, funde löschen, log posten ====== Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen ====== neues hjt log posten.
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
09.01.2009, 21:31
| #10 |
| | TR/Patched.CK.56 Befall und Weitere Habe ich soweit alles Getan Logs siehe Hier. Ich habe aber das gefühl das nach den Ganzen Sachen mein Rechner/ Internet Sehr Langsam bzw. Laggy Geworden ist weil wenn ich 1 Tab in Firefox am laden habe hängt der ganze Browser was vorher nicht war. Und es dauert dann solange bis die seite Geladen hat bevor ich dann auf einen anderen Tab umspringen kann. Code:
ATTFilter Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1635
Windows 5.1.2600 Service Pack 2
09.01.2009 21:31:12
mbam-log-2009-01-09 (21-31-12).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 99156
Laufzeit: 16 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter ComboFix 09-01-08.05 - PC2 2009-01-09 21:38:18.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2047.1613 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\PC2\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\PC2\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
FILE ::
c:\windows\system32\ffkuz.dll
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\VundoFix Backups
.
((((((((((((((((((((((( Dateien erstellt von 2008-12-09 bis 2009-01-09 ))))))))))))))))))))))))))))))
.
2009-01-08 20:12 . 2009-01-08 20:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-08 20:12 . 2009-01-08 20:12 <DIR> d-------- c:\dokumente und einstellungen\PC2\Anwendungsdaten\Malwarebytes
2009-01-08 20:12 . 2009-01-08 20:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-08 20:12 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-08 20:12 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-08 19:51 . 2009-01-08 19:51 <DIR> d-------- c:\programme\Trend Micro
2008-12-28 00:13 . 2009-01-08 19:22 <DIR> d-------- c:\programme\oovooToolbar
2008-12-28 00:13 . 2009-01-08 19:29 <DIR> d-------- c:\dokumente und einstellungen\PC2\Anwendungsdaten\oovooToolbar
2008-12-28 00:13 . 2008-12-28 00:15 <DIR> d-------- c:\dokumente und einstellungen\PC2\Anwendungsdaten\ooVoo Details
2008-12-28 00:00 . 2004-08-03 23:10 85,376 --a------ c:\windows\system32\drivers\NABTSFEC.sys
2008-12-28 00:00 . 2004-08-03 23:07 59,264 --a------ c:\windows\system32\drivers\USBAUDIO.sys
2008-12-28 00:00 . 2004-08-03 23:10 19,328 --a------ c:\windows\system32\drivers\WSTCODEC.SYS
2008-12-28 00:00 . 2004-08-03 23:10 17,024 --a------ c:\windows\system32\drivers\CCDECODE.sys
2008-12-28 00:00 . 2004-08-04 00:58 16,384 --a------ c:\windows\system32\ipsink.ax
2008-12-28 00:00 . 2004-08-03 23:10 15,360 --a------ c:\windows\system32\drivers\StreamIP.sys
2008-12-28 00:00 . 2004-08-03 23:10 11,136 --a------ c:\windows\system32\drivers\SLIP.sys
2008-12-28 00:00 . 2004-08-03 23:10 10,880 --a------ c:\windows\system32\drivers\NdisIP.sys
2008-12-28 00:00 . 2004-08-03 22:58 5,504 --a------ c:\windows\system32\drivers\MSTEE.sys
2008-12-27 23:59 . 2004-08-04 00:58 91,136 --a------ c:\windows\system32\kswdmcap.ax
2008-12-27 23:59 . 2004-08-04 00:58 61,952 --a------ c:\windows\system32\kstvtune.ax
2008-12-27 23:59 . 2004-08-04 00:57 54,272 --a------ c:\windows\system32\vfwwdm32.dll
2008-12-27 23:59 . 2004-08-04 00:58 43,008 --a------ c:\windows\system32\ksxbar.ax
2008-12-27 23:59 . 2004-08-04 00:58 28,672 --a------ c:\windows\system32\vidcap.ax
2008-12-27 23:56 . 2008-12-27 23:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\Labtec
2008-12-27 23:56 . 2007-03-06 17:48 1,273,504 --a------ c:\windows\system32\drivers\LV302V32.SYS
2008-12-27 23:56 . 2007-03-06 17:54 527,136 --a------ c:\windows\system32\LVUI2RC.dll
2008-12-27 23:56 . 2003-02-21 04:42 348,160 --a------ c:\windows\system\msvcr71.dll
2008-12-27 23:56 . 2007-03-06 17:50 264,992 --a------ c:\windows\system32\lvcodec2.dll
2008-12-27 23:56 . 2007-03-06 17:54 215,840 --a------ c:\windows\system32\LVUI2.dll
2008-12-27 23:56 . 2007-03-06 17:51 129,824 --a------ c:\windows\system32\lvci1051.dll
2008-12-27 23:56 . 2007-03-06 16:02 51,370 --a------ c:\windows\system32\lvcoinst.ini
2008-12-27 23:56 . 2007-03-06 17:54 41,376 --a------ c:\windows\system32\drivers\LVUSBSta.sys
2008-12-27 23:56 . 2007-03-06 17:48 14,240 --a------ c:\windows\system32\drivers\lv302af.sys
2008-12-27 23:56 . 2007-03-06 16:03 13,398 --a------ c:\windows\system32\Repository.reg
2008-12-27 23:55 . 2008-12-27 23:55 <DIR> d-------- c:\programme\Labtec
2008-12-27 23:55 . 2008-12-27 23:55 <DIR> d-------- c:\programme\Gemeinsame Dateien\LogiShrd
2008-12-27 23:47 . 2002-06-28 23:48 12,900 --a------ c:\windows\system32\drivers\kbfilter.sys
2008-12-24 15:43 . 2008-12-24 15:43 <DIR> d--hs---- c:\windows\ftpcache
2008-12-17 22:40 . 2008-12-17 22:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\GameHouse
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-09 20:36 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\Skype
2009-01-09 14:48 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\teamspeak2
2009-01-08 19:21 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-01-08 18:29 --------- d-----w c:\programme\AskBarDis
2008-12-31 16:49 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\ICQ
2008-12-27 23:13 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-07 01:10 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\uTorrent
2008-12-03 17:55 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-24 14:45 --------- d-----w c:\dokumente und einstellungen\PC2\Anwendungsdaten\Acreon
2008-11-24 01:19 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2008-11-24 01:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2008-11-23 18:32 --------- d-----w c:\programme\Java
2008-11-23 18:11 --------- d-----w c:\programme\Windows Media Connect 2
2008-11-23 18:11 --------- d-----w c:\programme\Windows Live Toolbar
2008-10-23 12:59 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2006-06-23 06:48 32,768 -c--a-r c:\windows\inf\UpdateUSB.exe
2008-12-20 08:38 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-20 08:38 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-20 08:38 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-20 08:38 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-20 08:38 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 10:32 279944 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-8087-36EE87E26986}]
2008-12-11 20:08 1912280 --a------ c:\programme\oovooToolbar\oovooToolbar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{A057A204-BACC-4D26-8087-36EE87E26986}"= "c:\programme\oovooToolbar\oovooToolbar.dll" [2008-12-11 1912280]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A057A204-BACC-4D26-8087-36EE87E26986}"= "c:\programme\oovooToolbar\oovooToolbar.dll" [2008-12-11 1912280]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-8087-36ee87e26986}]
[HKEY_CLASSES_ROOT\oovooToolbar.OOVOOTOOLBAR]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-09-13 22880040]
"ICQ"="d:\icq6\ICQ.exe" [2008-09-01 173304]
"Steam"="d:\steam\Steam.exe" [2008-11-24 1410296]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-18 7618560]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"StatusClient 2.6"="c:\programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-12 61440]
"TomcatStartup 2.5"="c:\programme\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-02-12 163840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="c:\programme\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
"NvMediaCenter"="NvMCTray.dll" [2006-10-18 c:\windows\system32\nvmctray.dll]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a--c--- 2007-03-12 12:49 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a--c--- 2005-05-19 14:47 57344 c:\programme\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 13:00 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]
-r------- 2006-06-02 09:45 385024 c:\windows\system32\JMRaidTool.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a--c--- 2006-04-13 10:09 49152 c:\programme\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2007-03-09 17:53 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-18 03:03 7618560 c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-18 03:03 86016 c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
-----c--- 2005-12-07 21:57 30208 c:\programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a--c--- 2006-04-10 08:19 729088 c:\programme\Analog Devices\SoundMAX\SMax4.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
-ra--c--- 2006-05-01 11:07 843776 c:\programme\Analog Devices\Core\smax4pnp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-18 03:03 1519616 c:\windows\system32\nwiz.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\ICQ6\\ICQ.exe"=
"d:\\Steam\\steamapps\\powercore\\counter-strike\\hl.exe"=
"d:\\Torrent\\uTorrent.exe"=
"d:\\Programme\\ooVoo\\ooVoo.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"443:TCP"= 443:TCP:*:Disabled:ooVoo TCP Port 443
"443:UDP"= 443:UDP:*:Disabled:ooVoo UDP Port 443
"37674:TCP"= 37674:TCP:*:Disabled:ooVoo TCP Port 37674
"37674:UDP"= 37674:UDP:*:Disabled:ooVoo UDP Port 37674
"37675:UDP"= 37675:UDP:*:Disabled:ooVoo UDP Port 37675
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [2008-12-27 12900]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\PCgo.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{49ffd26d-15b4-11dd-8fdd-001a9204af68}]
\Shell\AutoRun\command - g:\win32\AppWizard.exe
.
Inhalt des "geplante Tasks" Ordners
2009-01-09 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hotmail.de/
uInternet Settings,ProxyOverride = <local>;*.local
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-09 21:39:05
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-09 21:39:54
ComboFix-quarantined-files.txt 2009-01-09 20:39:42
ComboFix2.txt 2009-01-08 20:06:30
Vor Suchlauf: 14 Verzeichnis(se), 15,043,645,440 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 15,040,851,968 Bytes frei
226 --- E O F --- 2008-12-18 21:38:51
Geändert von Arkoni (09.01.2009 um 21:43 Uhr) |
|
09.01.2009, 21:56
| #11 |
| /// the machine /// TB-Ausbilder | TR/Patched.CK.56 Befall und Weitere nach dem kaspersky onlinescan nur ein neues hjt-log posten, den rest mit nochmal combofix weglassen, da hat sich der fehlerteufel eingeschlichen und ich kanns nicht mehr editieren  .
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
09.01.2009, 22:03
| #12 |
| | TR/Patched.CK.56 Befall und Weitere Man sagt mir ich bräuchte ne Lizenz für den Onlinescanner. Also lädt er die Datenbank nicht runter. |
|
09.01.2009, 22:11
| #13 |
| /// the machine /// TB-Ausbilder | TR/Patched.CK.56 Befall und Weitere du bist schon beim onlinscan? wo ist das log von malwarebytes?  nimm dann diesen hier: Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
09.01.2009, 22:15
| #14 |
| | TR/Patched.CK.56 Befall und WeitereCode:
ATTFilter Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1635
Windows 5.1.2600 Service Pack 2
09.01.2009 21:31:12
mbam-log-2009-01-09 (21-31-12).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 99156
Laufzeit: 16 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hier der Online scan Log Code:
ATTFilter ;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-01-09 22:42:36
PROTECTIONS: 1
MALWARE: 23
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition 8.0.1.30 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.doubleclick.net/]
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@doubleclick[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.atdmt.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@tradedoubler[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.tradedoubler.com/]
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.tradedoubler.com/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.fastclick.net/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.fastclick.net/]
00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.fastclick.net/]
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.tribalfusion.com/]
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@mediaplex[2].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.com.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@ad.yieldmanager[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[ad.yieldmanager.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.apmebf.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@apmebf[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.apmebf.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@serving-sys[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.serving-sys.com/]
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@bs.serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.bs.serving-sys.com/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.adtech.de/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@adtech[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.adtech.de/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@advertising[1].txt
00169286 Cookie/Sextracker TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.sextracker.com/]
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[statse.webtrendslive.com/]
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@statse.webtrendslive[1].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@overture[2].txt
00171633 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@www5.addfreestats[1].txt
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.adultfriendfinder.com/]
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.adultfriendfinder.com/]
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.adultfriendfinder.com/]
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.adultfriendfinder.com/]
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@adultfriendfinder[1].txt
00251542 Cookie/Sextracker TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[counter5.sextracker.com/]
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@atwola[2].txt
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{7215B757-1858-43AB-B2A4-A55EC41EDA98}\RP486\A0098179.EXE
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{7215B757-1858-43AB-B2A4-A55EC41EDA98}\RP484\A0097076.EXE
01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Cookies\pc2@adserver.easyad[1].txt
01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\PC2\Anwendungsdaten\Mozilla\Firefox\Profiles\3huf93r1.default\cookies.txt[.adserver.easyad.info/]
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{7215B757-1858-43AB-B2A4-A55EC41EDA98}\RP484\A0097063.sys
;===================================================================================================================================================================================
SUSPECTS
Sent Location Q
;===================================================================================================================================================================================
No D:\Eigene Dateien\Tool\girc515.exe[mirc.exe] Q
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description Q
;===================================================================================================================================================================================
;===================================================================================================================================================================================
Und hier noch zum Schluss der HJ Log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:44:29, on 09.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDLL32.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\Programme\Labtec\WebCam10\WebCam10.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe D:\Steam\Steam.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: ooVoo Toolbar - {A057A204-BACC-4D26-8087-36EE87E26986} - C:\Programme\oovooToolbar\oovooToolbar.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: ooVoo Toolbar - {A057A204-BACC-4D26-8087-36EE87E26986} - C:\Programme\oovooToolbar\oovooToolbar.dll O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Labtec\WebCam10\WebCam10.exe" /hide O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe -- End of file - 7643 bytes Geändert von Arkoni (09.01.2009 um 22:46 Uhr) |
|
09.01.2009, 23:03
| #15 |
| | TR/Patched.CK.56 Befall und Weitere Hmmm der online Scanner sagt ich hätte 56 Infizierte Dateien Male und die anderen Tool`s sagen wäre nix mehr drauf an iwelchen Sachen. |
|
| Themen zu TR/Patched.CK.56 Befall und Weitere |
| adobe, antivir, antivirus, ask toolbar, askbar, avgnt, avgnt.exe, avira, bho, bonjour, dll, excel, explorer, firefox, frage, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, mozilla, nvidia, object, pdf, rundll, skype.exe, software, system, tr/vundo.gen, windows, windows xp |
Linear-Darstellung
