| |
| |||||||
Log-Analyse und Auswertung: TR/Spy.GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.01.2009, 23:51
| #3 |
 |  TR/Spy.Gen so also hab den ersten punkt wie beschrieben gemacht hoff ich mal
__________________ so nun hier: ComboFix 09-01-13.04 - hubert 2009-01-14 23:37:28.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2009.1417 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\hubert\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) AV: eTrust ITM *On-access scanning disabled* (Outdated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509C.manifest c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509O.manifest c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509P.manifest c:\dokumente und einstellungen\hubert\Anwendungsdaten\02000000f7c03164509S.manifest c:\windows\GnuHashes.ini c:\windows\system32\GroupPolicy000.dat c:\windows\system32\GroupPolicyManifest c:\windows\system32\GroupPolicyManifest\23.music.mp3.kwd c:\windows\system32\GroupPolicyManifest\24.crack.zip.kwd c:\windows\system32\GroupPolicyManifest\25.video.zip.kwd c:\windows\system32\GroupPolicyManifest\26.setup.zip.kwd c:\windows\system32\GroupPolicyManifest\27.unpack.zip.kwd c:\windows\system32\GroupPolicyManifest\28.keygen.zip.kwd c:\windows\system32\GroupPolicyManifest\29.serial.zip.kwd c:\windows\system32\GroupPolicyManifest\30.mpgvideo.mpg.kwd . ((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 )))))))))))))))))))))))))))))) . 2009-01-14 22:28 . 2009-01-14 22:28 <DIR> d-------- c:\programme\Trend Micro 2009-01-14 01:13 . 2009-01-14 01:14 <DIR> d-------- c:\programme\CCleaner 2009-01-13 23:27 . 2009-01-13 23:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-01-13 22:56 . 2009-01-13 22:56 <DIR> d-------- c:\programme\Avira 2009-01-13 01:30 . 2009-01-13 01:30 <DIR> d-------- c:\windows\system32\Kaspersky Lab 2009-01-13 01:30 . 2009-01-13 01:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-01-09 22:59 . 2009-01-09 23:04 <DIR> d-------- c:\programme\phase5 2009-01-09 22:59 . 2009-01-09 22:59 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\Systemberatung Schommer 2009-01-07 21:46 . 2009-01-07 21:46 0 --a------ c:\windows\system32\11.tmp 2009-01-05 12:38 . 2009-01-05 12:38 0 --a------ c:\windows\system32\A.tmp 2009-01-01 11:11 . 2009-01-01 11:11 0 --a------ c:\windows\system32\47.tmp 2009-01-01 11:11 . 2009-01-01 11:11 0 --a------ c:\windows\system32\46.tmp 2008-12-30 23:22 . 2009-01-14 23:36 135,168 --a------ c:\windows\system32\dskquoui32.dll 2008-12-30 23:22 . 2009-01-14 00:43 135,168 --a------ C:\ARKE.tmp 2008-12-30 10:45 . 2008-12-30 10:45 <DIR> d-------- c:\windows\Sun 2008-12-29 22:19 . 2009-01-13 23:16 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\LimeWire 2008-12-28 23:24 . 2008-12-28 23:24 410,984 --a------ c:\windows\system32\deploytk.dll 2008-12-28 23:24 . 2008-12-28 23:24 73,728 --a------ c:\windows\system32\javacpl.cpl 2008-12-28 23:23 . 2008-12-28 23:23 <DIR> d-------- c:\programme\Java 2008-12-28 22:42 . 2008-12-28 22:43 <DIR> d-------- c:\programme\LimeWire 2008-12-28 22:34 . 2008-12-28 22:34 <DIR> d-------- c:\dokumente und einstellungen\hubert\Anwendungsdaten\AdobeUM 2008-12-28 15:29 . 2008-12-28 15:29 <DIR> d--h----- c:\windows\$hf_mig$ . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-28 14:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-12-03 00:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink 2008-12-01 21:04 --------- d-----w c:\programme\Gemeinsame Dateien\KODAK 2008-12-01 21:03 --------- d--h--w c:\programme\InstallShield Installation Information 2008-12-01 21:03 --------- d-----w c:\programme\Kodak 2008-11-27 22:36 --------- d-----w c:\programme\Real 2008-11-27 22:36 --------- d-----w c:\programme\Gemeinsame Dateien\xing shared 2008-11-27 22:36 --------- d-----w c:\programme\Gemeinsame Dateien\Real 2008-11-27 22:03 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Apple Computer 2008-11-27 22:02 --------- d-----w c:\programme\Gemeinsame Dateien\Apple 2008-11-27 22:02 --------- d-----w c:\programme\Apple Software Update 2008-11-27 22:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-11-27 22:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2008-11-27 21:35 --------- d-----w c:\programme\QuickTime 2008-11-27 13:14 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Nero 2008-11-22 14:10 --------- d-----w c:\programme\Hewlett-Packard 2008-11-21 07:46 98,304 ----a-w c:\windows\system32\CmdLineExt.dll 2008-11-21 07:34 --------- d-----w c:\programme\Sierra 2008-11-21 07:32 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\InstallShield 2008-11-20 16:52 --------- d-----w c:\dokumente und einstellungen\hubert\Anwendungsdaten\Microsoft Web Folders 2008-11-14 13:59 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2008-04-14 12:00 94,800 --sh--w c:\windows\twain.dll 2008-04-14 12:00 50,688 --sh--w c:\windows\twain_32.dll 2008-04-14 12:00 1,028,096 --sh--w c:\windows\system32\mfc42.dll 2008-04-14 12:00 57,344 --sh--w c:\windows\system32\msvcirt.dll 2008-04-14 12:00 413,696 --sh--w c:\windows\system32\msvcp60.dll 2008-04-14 12:00 343,040 --sh--w c:\windows\system32\msvcrt.dll 2008-04-14 12:00 551,936 --sh--w c:\windows\system32\oleaut32.dll 2008-04-14 12:00 84,992 --sh--w c:\windows\system32\olepro32.dll 2008-04-14 12:00 12,288 --sh--w c:\windows\system32\regsvr32.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-17 150040] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-17 178712] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-17 150040] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-05-08 1105920] "HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2007-07-26 192512] "Realtime Monitor"="c:\programme\CA\eTrustITM\realmon.exe" [2007-01-16 407632] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-03-25 570664] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-11-27 180269] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-28 136600] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl] "RTHDCPL"="RTHDCPL.EXE" [2008-03-26 c:\windows\RTHDCPL.EXE] "SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SOUNDMAN.EXE] "AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\ALCWZRD.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\984b9ffe509] 2009-01-14 23:36 135168 c:\windows\system32\dskquoui32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\windows\System32\dskquoui32.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ComputerAssociatesAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\CA\\eTrustITM\\InoRpc.exe"= "c:\\Programme\\CA\\eTrustITM\\Realmon.exe"= "c:\\Programme\\CA\\eTrustITM\\Shellscn.exe"= "c:\\Programme\\LimeWire\\LimeWire.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2008-10-21 9867] R3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [2008-10-21 84240] R3 WisLMSvc;WisLMSvc;c:\programme\Launch Manager\WisLMSvc.exe [2008-10-21 118784] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a555908-9f7d-11dd-801a-000df057b1ce}] \Shell\AutoRun\command - e:\truecrypt\TrueCrypt.exe /q background /e /m rm /v "max_portableapps.tc" \Shell\dismount\command - e:\truecrypt\TrueCrypt.exe /q /d \Shell\start\command - e:\truecrypt\TrueCrypt.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-CtrlVol - c:\programme\Launch Manager\CtrlVol.exe HKLM-Run-LaunchAp - c:\programme\Launch Manager\LaunchAp.exe HKLM-Run-Wbutton - c:\programme\Launch Manager\WButton.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.vol.at/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\Office\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\hubert\Anwendungsdaten\Mozilla\Firefox\Profiles\qbxfq85z.default\ ---- FIREFOX POLICIES ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-14 23:38:27 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run CtrlVol = c:\programme\Launch Manager\CtrlVol.exe?8???x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ????? LaunchAp = c:\programme\Launch Manager\LaunchAp.exe????x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ????? Wbutton = c:\programme\Launch Manager\WButton.exe?????x???0???\???????0??????????????|???|???????|????????L???????xJ????F?????????????h?????????????B????????|@??|????=??|??A??????? ????A???%"??????????7~?h@???????????????A???u"??????A???@?hJ??vs@?hJ??t?%"??@?xJ????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(832) c:\windows\System32\dskquoui32.dll c:\programme\CA\SharedComponents\PPRealtime\bin\CACheck.dll c:\programme\CA\SharedComponents\PPRealtime\bin\CAHook.dll c:\programme\CA\SharedComponents\PPRealtime\bin\CAServer.dll - - - - - - - > 'lsass.exe'(896) c:\windows\System32\dskquoui32.dll . Zeit der Fertigstellung: 2009-01-14 23:39:18 ComboFix-quarantined-files.txt 2009-01-14 22:39:15 Vor Suchlauf: 14 Verzeichnis(se), 218.127.708.160 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 218,181,398,528 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 182 hoffe das stimmt so wie ich es gemacht habe ;-) |
| Themen zu TR/Spy.Gen |
| adobe, antivir, antivirus, avg, avira, bho, explorer, firefox, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, kommt immer wieder, launch, logfile, monitor, mozilla, object, pdf, plug-in, problem, programme, rundll, software, tr/spy.gen, trojanisches pferd, windows xp |
Baum-Darstellung