|
Log-Analyse und Auswertung: Trojaner.. Hacker schaut mir bei allem zu..Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.03.2009, 22:47 | #31 | ||
| Trojaner.. Hacker schaut mir bei allem zu..Zitat:
Zitat:
Ich bin ziemlich sicher, dass das RAT jetzt weg ist, aber eben nur ziemlich. Deshalb werde ich jeden Scanner auf dich loslassen, der greifbar ist. Gehen wir doch mal unkonventionelle Wege. Stell sicher, daß Dir auch alle Dateien angezeigt werden, suche nach der Datei * (wird lange dauern), Menüzeile: Ansicht => Details, Klick auf die Überschrift "Geändert am" und mache ein Screenshot von allen Dateien im fraglichen Zeitraum +- 1 Stunde. 1.) CureIT Dr.Web
2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation3.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
28.03.2009, 23:27 | #32 |
| Trojaner.. Hacker schaut mir bei allem zu.. Ui , okay das erklärt einiges.
__________________:d nun kein Scherz , will unbedingt eine Ausbildung in Fachinformatik starten, schon vor ca. einer Woche habe ich mich endgültig dafür entschieden. Heißt das irgendwann könnte ich selber jemanden solche Tipps geben ? *g Ja Everest *heul , ich fand das Tool recht hilfreich. So hier erstmal der Lesestoff. Hing alles sehr beim Screenen. Screen 1-5 Screen 6 So ich werd dann mal alle Programme durchlaufen lassen. Falls ich einschlafe *g schon mal eine gute Nacht! Und Dankeschön. Falls ich nicht einschlafe , bis später *lach Liebe Grüße Engelstraene die dir seeeehr dankbar ist |
28.03.2009, 23:40 | #33 |
| Trojaner.. Hacker schaut mir bei allem zu.. Aktuelle Trials gibt es hier: Lavalys - Comprehensive IT Security and Management
__________________Freie z.B. hier: Everest Home Edition Hast du den Link noch, auf den du geklickt hast? Falls ja, dann schicke ihn mir bitte als PN. ciao, andreas
__________________ |
29.03.2009, 02:22 | #34 |
| Trojaner.. Hacker schaut mir bei allem zu.. Morgen gähn, soeben bin ich fertig mit dem Dr.Web ComboFix.exe/data002\32788R22FWJFW\c.bat;C:\Dokumente und Einstellungen\Kerstin\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;; ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Kerstin\Desktop\ComboFix.exe/data002;Program.PsExec.171;; data002;C:\Dokumente und Einstellungen\Kerstin\Desktop;Archiv enthält infizierte Objekte;; ComboFix.exe;C:\Dokumente und Einstellungen\Kerstin\Desktop;Container enthält infizierte Objekte;Verschoben.; adasdq.exe.vir;C:\Qoobox\Quarantine\C\Programme\jasdqw;Trojan.Inject.5089;Gelöscht.; A0048122.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP257;Trojan.Inject.5089;Gelöscht.; A0049682.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Wahrscheinlich BATCH.Virus;; A0049685.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Program.PsExec.170;; A0049895.reg;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Trojan.StartPage.1505;Gelöscht.; A0049970.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP261;Wahrscheinlich BATCH.Virus;; A0050039.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP262;Wahrscheinlich BATCH.Virus;; A0050108.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Trojan.Inject.5089;Gelöscht.; A0050132.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Wahrscheinlich BATCH.Virus;; A0050135.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Program.PsExec.170;; A0050325.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Wahrscheinlich BATCH.Virus;; A0050328.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Program.PsExec.170;; A0050381.exe/data002\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264\A0050381.exe/data002;Wahrscheinlich BATCH.Virus;; A0050381.exe/data002\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264\A0050381.exe/data002;Program.PsExec.171;; data002;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Archiv enthält infizierte Objekte;; A0050381.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Container enthält infizierte Objekte;Verschoben.; Zu dem Link, gerade zur Verfügung leider nicht. Da mein Nick noch gesperrt ist, kann ich meine Nachrichten nicht öffnen. Könnte ihn dir im Nachhinein schicken. Bin noch unsicher ob ichs jetzt schon freischalten lassen soll. Ich warte lieber noch bis ich wirklich "sauber" bin. Was ich mich nun frage ist... Ist das ein Fehlarlam bei der ComboFix Datei ? Ich habs trotzdem verschoben, hast du mir ja so gesagt. Das was ich nicht verschieben konnte hab ich gelöscht. Hoffe das war richtig. Der Rest kommt nun auch. Lg |
29.03.2009, 07:10 | #35 | ||||
| Trojaner.. Hacker schaut mir bei allem zu.. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. Zitat:
Zitat:
Zitat:
Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.03.2009, 08:17 | #36 |
| Trojaner.. Hacker schaut mir bei allem zu.. Morgen So die Systemwiederherstellung ist deaktiviert. Wegen den Screens öhm ja. *g Hier sind die richtigen. Eins hat sich nicht eingeordnet nachdem ich nach Zeit anzeigen gemacht hab , hab ich mal einen Pfeil vorgesetzt. Liebe Grüße |
29.03.2009, 08:28 | #37 |
| Trojaner.. Hacker schaut mir bei allem zu.. Morgen, da ist noch etwas. Doppelklicke in der Überschrift genau auf die Grenze zwischen "Im Ordner" und "Größe" damit der volle Ordnername sichtbar wird. Dann nocheinmal Screenshots erstellen. Ich brauche den vollen Pfad zum Ordner "5" und zu den Dateien mit den vielen Zahlen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.03.2009, 08:37 | #38 |
| Trojaner.. Hacker schaut mir bei allem zu.. Okay , wie doof von mir. Hier nochmal beide Screens mit vollem Pfad. Screens mit vollem Pfad. Liebe Grüße. Ps. Tu mich heut morgen ein wenig schwer |
29.03.2009, 09:22 | #39 |
| Trojaner.. Hacker schaut mir bei allem zu.. Am liebsten wäre mir, du würdest AOL komplett deinstallieren und anschliessend installieren. Damit meine ich deinstallieren, anschliessend mit der Windowssuche nach AOL suchen und alle Ordner und Dateien löschen, die gefunden werden. Damit verlierst du natürlich auch den Verlauf, aber ich denke, dass ist das kleinste Übel. Anschliessend kannst du deine Konten wieder aktivieren. Poste bitte ein aktuelles HJT-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.03.2009, 09:47 | #40 |
| Trojaner.. Hacker schaut mir bei allem zu.. Ok, Aol ist derzeit Deinstalliert Der neue Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:42:39, on 29.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.micro***.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.micro***.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.micro***.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) O2 - BHO: (no name) - {b0cda128-b425-4eef-a174-61a11ac5dbf8} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: is-LU9UI.lnk = C:\Dokumente und Einstellungen\Kerstin\Desktop\Virus Removal Tool\is-LU9UI\startup.exe O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspe****.com/kos/german/...an_unicode.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://h***://*************.live.com...d/MsnPUpld.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - ***p://support.f-secure.com/ols/fscax.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- End of file - 7563 bytes ActivScan Ergebnis Kaspersky Ergebnis Edit:PrevXCSI hat nichts gefunden. Allerdings hat er nur die laufenden Prozesse durchsucht. War das richtig so ? LG Geändert von Engelstraene (29.03.2009 um 09:56 Uhr) |
29.03.2009, 10:00 | #41 |
| Trojaner.. Hacker schaut mir bei allem zu.. Ich sehe gerade, dass du Nero BackItUp am Laufen hast. Warum hast du dein Backup nicht einfach zurückgespielt? Deinstalliere alle Scanner, die wir eingesetzt haben, bis auf MalwareBytes. Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter O2 - BHO: (no name) - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) O2 - BHO: (no name) - {b0cda128-b425-4eef-a174-61a11ac5dbf8} - (no file) O4 - Startup: is-LU9UI.lnk = C:\Dokumente und Einstellungen\Kerstin\Desktop\Virus Removal Tool\is-LU9UI\startup.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://dingens-ohne-namen.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab ciao, andreas Edit: Dann war es das. 100%ige Sicherheit hast du nicht, aber die gibt es eh nicht. Misstraue deinem Rechner in der nächsten Zeit. Ich bin ziemlich sicher, dass er sich nicht mehr melden wird. Es sei denn, du hältst dich an meine Anleitung (besonders Punkt 1 und 8 ): http://www.trojaner-board.de/396401-post22.html Lade dir nocheinmal ComboFix. Poste ein letztes ComboFix-Log und anschliessend: Start => Ausführen => combofix /u => OK
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.03.2009, 10:42 | #42 | |
| Trojaner.. Hacker schaut mir bei allem zu..Zitat:
Zu deiner Anleitung... Das ist die erste die ich nicht befolgen werde *ätsch* Das Log : ComboFix 09-03-28.06 - Kerstin 2009-03-29 11:33:42.8 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.767.514 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Kerstin\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) . ((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-29 )))))))))))))))))))))))))))))) . 2009-03-29 10:48 . 2009-03-29 10:48 66 --a------ c:\windows\wininit.ini 2009-03-29 08:40 . 2009-03-29 11:02 <DIR> d-------- c:\programme\Panda Security 2009-03-29 03:34 . 2009-03-29 11:36 10,455,072 --ahs---- c:\windows\system32\drivers\fidbox.dat 2009-03-29 03:34 . 2008-07-08 13:54 148,496 --a------ c:\windows\system32\drivers\86493282.sys 2009-03-29 03:34 . 2009-03-29 11:31 115,184 --ahs---- c:\windows\system32\drivers\fidbox.idx 2009-03-29 00:29 . 2009-03-29 00:50 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\DoctorWeb 2009-03-28 16:44 . 2009-03-28 16:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-03-28 16:43 . 2009-03-28 21:25 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\SUPERAntiSpyware.com 2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Malwarebytes 2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-28 14:42 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-28 14:42 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-28 13:38 . 2009-03-28 13:38 <DIR> d-------- c:\programme\Trend Micro 2009-03-27 03:04 . 2009-03-27 03:04 <DIR> d-------- c:\programme\TeamViewer3 2009-03-23 23:06 . 2009-03-23 23:06 <DIR> dr------- c:\programme\Skype 2009-03-23 23:06 . 2009-03-28 21:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Skype 2009-03-18 21:35 . 2009-03-18 21:35 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü 2009-03-18 21:34 . 2009-03-18 21:34 <DIR> d-------- c:\programme\Avira 2009-03-18 21:34 . 2009-02-13 12:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys 2009-03-16 11:13 . 2009-03-16 11:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2009-03-16 11:12 . 2009-03-16 11:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared 2009-03-16 11:11 . 2008-04-07 06:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll 2009-03-16 11:11 . 2008-04-07 06:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll 2009-03-16 10:30 . 2009-03-16 10:30 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Download Manager 2009-03-15 19:58 . 2009-03-15 19:58 <DIR> d-------- c:\programme\Season Match 2 2009-03-15 19:57 . 2009-03-15 19:57 <DIR> d-------- c:\programme\Secrets of Olympus 2009-03-15 19:56 . 2009-03-15 19:56 <DIR> d-------- c:\programme\Der Fluch von Montezuma 2009-03-15 19:49 . 2009-03-15 19:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivoGames 2009-03-15 16:31 . 2009-03-15 16:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mIRC 2009-03-15 14:06 . 2009-03-15 14:06 <DIR> d-------- c:\programme\DragonStone 2009-03-15 13:58 . 2009-03-15 13:58 <DIR> d-------- c:\programme\Haunted Hotel II - Glaube den Luegen 2009-03-15 11:22 . 2009-03-15 11:26 <DIR> d-------- c:\programme\ICQ6.5 2009-03-14 18:34 . 2009-03-14 18:34 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Gaijin Ent 2009-03-14 18:04 . 2009-03-15 14:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment 2009-03-14 13:02 . 2009-03-25 21:52 69 --a------ c:\windows\NeroDigital.ini 2009-03-13 22:29 . 2009-03-13 22:31 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mobipocket 2009-03-13 21:33 . 2009-03-28 12:51 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Ahead 2009-03-13 21:32 . 2009-03-13 21:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead 2009-03-13 21:28 . 2009-03-13 21:28 <DIR> d-------- c:\programme\Nero 2009-03-13 21:28 . 2009-03-13 21:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead 2009-03-13 14:15 . 2009-03-28 13:13 <DIR> d-------- c:\programme\CCleaner 2009-03-13 13:46 . 2007-09-26 19:37 3,949,864 --a------ c:\windows\system32\AdvrCntr3.dll 2009-03-02 01:01 . 2009-03-09 11:48 29 --a------ c:\windows\Irremote.ini 2009-03-02 00:03 . 2009-03-02 00:05 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\DeepBurner . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-28 19:25 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-03-28 19:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-03-28 17:45 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Winamp 2009-03-28 13:31 --------- d-----w c:\programme\Logitech 2009-03-28 11:13 --------- d-----w c:\programme\Zylom Games 2009-03-23 21:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-03-18 19:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-03-16 17:12 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-03-16 09:12 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-03-15 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Viewpoint 2009-03-15 17:57 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Friday's games 2009-03-14 16:37 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Zylom 2009-03-13 19:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero 2009-03-13 12:13 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-13 12:12 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-03-13 12:11 --------- d-----w c:\programme\Windows Live 2009-03-13 12:05 --------- d-----w c:\programme\Winamp 2009-03-13 12:00 --------- d-----w c:\programme\MSBuild 2009-03-13 11:53 --------- d-----w c:\programme\Gemeinsame Dateien\Apple 2009-03-09 10:07 --------- d-----w c:\programme\Gemeinsame Dateien\Nero 2009-03-04 17:59 --------- d-----w c:\programme\Zattoo 2009-03-04 15:05 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ICQ 2009-03-02 07:17 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Nero 2009-03-01 22:08 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Viewpoint 2009-03-01 21:46 --------- d-----w c:\programme\Gemeinsame Dateien\Real 2009-02-22 18:42 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\concept design 2009-02-12 13:53 --------- d-----w c:\programme\Messenger Plus! Live 2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll 2009-01-30 19:22 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ppstream 2008-10-29 08:04 102,104 ----a-w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mdbu.bin 2008-09-29 21:30 88 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\C6DE54A3B9.sys 2008-09-29 21:30 2,516 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-03-29_11.29.39,82 ))))))))))))))))))))))))))))))))))))))))) . + 2009-03-29 09:32:31 16,384 ----atw c:\windows\temp\Perflib_Perfdata_5e8.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth.lnk backup=c:\windows\pss\Bluetooth.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-27 00:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 16:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616] R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2004-04-13 77312] R1 is-LU9UIdrv;is-LU9UIdrv;c:\windows\system32\drivers\86493282.sys [2009-03-29 148496] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289] S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088] S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248] S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2008-09-01 163328] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: &AIM Toolbar Search IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Per Mitteilung versenden(&M) ... IE: Send To &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Über Bluetooth senden FF - ProfilePath - c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\ FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrie7&query= FF - prefs.js: browser.search.selectedEngine - AIM Search FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrab&query= FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-29 11:35:49 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-03-29 11:37:31 ComboFix-quarantined-files.txt 2009-03-29 09:37:27 ComboFix2.txt 2009-03-29 09:30:49 ComboFix3.txt 2009-03-29 09:20:58 Vor Suchlauf: 17 Verzeichnis(se), 16.033.767.424 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 16,021,397,504 Bytes frei 172 Liebe Grüße |
29.03.2009, 11:00 | #43 | |||
| Trojaner.. Hacker schaut mir bei allem zu..Zitat:
Zitat:
Ich bin ziemlich sicher, dass du daraus gelernt hast, sonst wirst du hier Dauergast werden. Code:
ATTFilter R1 is-LU9UIdrv;is-LU9UIdrv;c:\windows\system32\drivers\86493282.sys [2009-03-29 148496] Was hab ich nochmal geschrieben? Zitat:
Falls du ComboFix schon deinstalliert hast, dann lade es gleich nochmal runter. Scripten mit Combofix
Code:
ATTFilter KILLALL:: Driver:: is-LU9UIdrv
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.03.2009, 11:06 | #44 | |
| Trojaner.. Hacker schaut mir bei allem zu..Zitat:
Herr Lehrer das hab ich wirklich nicht gesehen, können Sie da nicht noch einmal ein Auge zu drücken ? Ich versprech auch ich klicke nie wieder auf Links die schon auf komische Filehoster geladen sind. *schwör* Außerdem war das kein Messenger sondern des war im Chat *wegrenn* So ich werd dann mein Script reinhauen und dann alles nochmal machen. Aber nun ehrlich, in Software und in C:\Programme war das nicht drin. In Windows direkt trau ich mich nicht einfach etwas zu löschen. Bis gleich |
29.03.2009, 11:15 | #45 | ||
| Trojaner.. Hacker schaut mir bei allem zu..Zitat:
Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu Trojaner.. Hacker schaut mir bei allem zu.. |
ad-aware, adobe, antivir, antivir guard, avira, bho, browser, desktop, dringend, explorer, f-secure, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, konvertieren, logfile, mozilla, object, pdf-datei, plug-in, rojaner gefunden, senden, skype.exe, software, super, system, trojaner, trojaner gefunden, windows, windows xp, zwei trojaner |