Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Log-Analyse und Auswertung: WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 2 1 2
Alt 03.08.2009, 18:51   #16
john.doe
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


1.) Deinstalliere:
  • Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742
  • Adobe Flash Player 10 Plugin
  • Adobe Flash Player 9 ActiveX
  • Adobe Flash Player ActiveX
  • Adobe Reader 8.1.2 - Deutsch
  • Apple Software Update
  • ICQ Toolbar
  • Java(TM) 6 Update 13
  • Java(TM) 6 Update 3
  • Java(TM) 6 Update 7
  • Mozilla Firefox (3.0.11)
  • Spybot - Search & Destroy
2.) Installiere (Toolbars immer abwählen, Haken weg):3.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
gsplittm
ICQ Service
JavaQuickStarterService

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{011b3405-9a0b-11dc-861e-00116b3d4b0d}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
"SpybotSD TeaTimer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRONoMgr.exe"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"Adobe Photo Downloader"=-
"QuickTime Task"=-
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.08.2009, 19:56   #17
LolliBunny
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Danke. Also habe ich gemacht zumindestens alles was ich gefunden habe (Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB40374), hab ich net gefunden.

Nun läuft das Prog wieder.

Keine Sorge bin nicht über meinem PC im Netz.

Bin auf das Ergebnis gespannt auch wenn diese Logs für mich wie Chinesisch zu lesen sind. .

LG

Steffi
__________________
Alt 03.08.2009, 20:01   #18
john.doe
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Zitat:
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB40374), hab ich net gefunden.
1.) Start => Ausführen => MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7} => OK

2.) Start => Ausführen => MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} => OK

Zitat:
Bin auf das Ergebnis gespannt auch wenn diese Logs für mich wie Chinesisch zu lesen sind.
Das lernt man auch nicht an einem Tag.

ciao, andreas
__________________
__________________
Alt 03.08.2009, 20:07   #19
LolliBunny
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Glaube ich dir aufs Wort .

Also mir wird da gesagt dass sie bereits deinstalliert sind bzw nicht installiert.

ComboFix 09-08-02.04 - Besitzer 03.08.2009 20:53.2.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1576 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Besitzer\Desktop\cfscript.txt
AV: Kaspersky Security Suite CBE 09 *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE 09 *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FILE ::
"c:\windows\tasks\AppleSoftwareUpdate.job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GSPLITTM
-------\Legacy_JAVAQUICKSTARTERSERVICE
-------\Service_gsplittm
-------\Service_JavaQuickStarterService


((((((((((((((((((((((( Dateien erstellt von 2009-07-03 bis 2009-08-03 ))))))))))))))))))))))))))))))
.

2009-08-22 15:54 . 2009-06-29 16:23 861 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Acreon\WowMatrix\Archives\HealBot\HealBot_Clean_WTF.bat
2009-08-03 18:47 . 2009-08-03 18:47 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Foxit
2009-08-03 18:47 . 2009-08-03 18:47 -------- d-----w- c:\programme\Foxit Software
2009-08-03 18:45 . 2009-08-03 18:45 152576 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-08-03 09:06 . 2009-08-03 09:07 -------- d-----w- c:\programme\QuickTime
2009-08-03 09:06 . 2009-08-03 09:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-03 03:24 . 2009-08-03 03:24 -------- d-----w- C:\rsit
2009-08-02 07:38 . 2009-08-02 07:57 -------- d-----w- c:\programme\ICQ6.5
2009-08-02 06:58 . 2009-08-02 13:26 -------- d-----w- c:\programme\Avanquest update
2009-08-02 06:58 . 2009-08-02 06:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2009-08-02 06:57 . 2008-11-04 01:45 10792 ----a-w- c:\windows\system32\drivers\s1018cr.sys
2009-08-02 06:57 . 2008-11-04 01:45 109736 ----a-w- c:\windows\system32\drivers\s1018unic.sys
2009-08-02 06:57 . 2008-11-04 01:45 108200 ----a-w- c:\windows\system32\drivers\s1018mgmt.sys
2009-08-02 06:57 . 2008-11-04 01:45 104616 ----a-w- c:\windows\system32\drivers\s1018obex.sys
2009-08-02 06:57 . 2008-11-04 01:45 26024 ----a-w- c:\windows\system32\drivers\s1018nd5.sys
2009-08-02 06:57 . 2008-11-04 01:45 15016 ----a-w- c:\windows\system32\drivers\s1018mdfl.sys
2009-08-02 06:57 . 2008-11-04 01:45 12200 ----a-w- c:\windows\system32\drivers\s1018cmnt.sys
2009-08-02 06:57 . 2008-11-04 01:45 12200 ----a-w- c:\windows\system32\drivers\s1018cm.sys
2009-08-02 06:57 . 2008-11-04 01:45 114472 ----a-w- c:\windows\system32\drivers\s1018mdm.sys
2009-08-02 06:57 . 2008-11-04 01:45 12200 ----a-w- c:\windows\system32\drivers\s1018whnt.sys
2009-08-02 06:57 . 2008-11-04 01:45 12200 ----a-w- c:\windows\system32\drivers\s1018wh.sys
2009-08-02 06:57 . 2008-11-04 01:45 86696 ----a-w- c:\windows\system32\drivers\s1018bus.sys
2009-08-02 06:41 . 2009-08-02 06:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sony Ericsson
2009-08-02 06:40 . 2009-08-02 06:49 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Teleca
2009-08-02 06:37 . 2009-08-02 06:37 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sony Ericsson
2009-08-02 06:30 . 2009-08-02 06:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2009-08-02 06:30 . 2009-08-02 06:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Sony Ericsson Shared
2009-08-02 06:30 . 2009-08-02 06:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Teleca
2009-08-02 06:30 . 2009-08-02 06:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Teleca Shared
2009-08-02 06:30 . 2009-08-02 06:30 -------- d-----w- c:\programme\Sony Ericsson
2009-08-02 06:27 . 2009-08-02 06:27 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Leadertech
2009-08-02 06:17 . 2007-02-08 11:56 18704 ----a-r- c:\windows\system32\drivers\sea1nd5.sys
2009-08-02 06:17 . 2007-02-08 11:56 90800 ----a-r- c:\windows\system32\drivers\sea1unic.sys
2009-08-02 06:17 . 2007-02-08 11:55 4128 ----a-r- c:\windows\system32\drivers\sea1cr.sys
2009-08-02 06:17 . 2007-02-08 11:56 88624 ----a-r- c:\windows\system32\drivers\sea1mgmt.sys
2009-08-02 06:16 . 2007-02-08 11:56 86432 ----a-r- c:\windows\system32\drivers\sea1obex.sys
2009-08-02 06:16 . 2007-02-08 11:55 97088 ----a-r- c:\windows\system32\drivers\sea1mdm.sys
2009-08-02 06:16 . 2007-02-08 11:55 9360 ----a-r- c:\windows\system32\drivers\sea1mdfl.sys
2009-08-02 06:16 . 2007-02-08 11:55 6240 ----a-r- c:\windows\system32\drivers\sea1cmnt.sys
2009-08-02 06:16 . 2007-02-08 11:55 6240 ----a-r- c:\windows\system32\drivers\sea1cm.sys
2009-08-02 06:02 . 2009-08-02 06:02 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sony
2009-08-02 06:00 . 2009-08-02 06:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Sony Shared
2009-08-02 05:59 . 2009-08-02 05:59 -------- d-----w- c:\programme\Sony
2009-07-09 16:14 . 2009-07-09 16:25 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-07-09 16:14 . 2009-07-09 16:25 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-07-09 16:13 . 2009-08-03 18:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-09 16:13 . 2009-08-03 18:56 24052256 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-09 16:13 . 2009-08-03 18:56 2220064 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-09 16:13 . 2009-07-09 16:13 -------- d-----w- c:\programme\Kaspersky Lab
2009-07-07 18:16 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-07 17:27 . 2009-07-07 17:27 -------- d-----w- c:\windows\system32\de
2009-07-07 17:27 . 2009-07-07 17:27 -------- d-----w- c:\windows\l2schemas
2009-07-07 17:27 . 2009-07-07 17:27 -------- d-----w- c:\windows\system32\bits
2009-07-07 16:53 . 2009-07-07 16:53 -------- d-----w- c:\programme\Trend Micro
2009-07-07 16:48 . 2009-07-07 16:48 -------- d-----w- c:\programme\CCleaner
2009-07-07 16:35 . 2009-07-07 16:35 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-07-07 16:35 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-07 16:35 . 2009-07-07 16:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-07 16:35 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-07 16:35 . 2009-07-07 16:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-07 16:34 . 2009-08-03 18:34 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-07 16:34 . 2009-08-03 18:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-05 17:27 . 2009-07-25 19:08 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-03 18:56 . 2009-07-09 16:13 9716 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-08-03 18:56 . 2009-07-09 16:13 191084 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-03 18:46 . 2009-07-04 09:50 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-08-03 18:25 . 2007-12-09 00:27 -------- d-----w- c:\programme\Java
2009-08-03 18:13 . 2007-10-22 16:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-08-03 16:37 . 2007-11-05 17:24 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2009-08-03 04:33 . 2007-11-05 17:26 1 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-08-02 09:39 . 2007-09-08 13:44 16600 -c--a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-02 07:42 . 2008-07-01 18:29 -------- d-----w- c:\programme\ICQ6Toolbar
2009-08-02 07:41 . 2008-07-01 18:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-08-02 07:39 . 2008-07-01 18:28 -------- d-----w- c:\programme\ICQ6
2009-08-02 06:58 . 2007-09-08 12:40 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-15 18:04 . 2007-09-09 18:40 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2009-07-11 10:57 . 2008-01-04 11:31 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-07-09 17:02 . 2009-06-30 17:34 -------- d-----w- c:\programme\Google
2009-07-07 18:32 . 2008-11-05 06:54 310912 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\MobMapUpdater\MobMapUpdaterExternals.dll
2009-07-07 18:32 . 2009-05-05 05:24 -------- d-----w- c:\programme\MobMapUpdater
2009-07-07 17:28 . 2007-09-08 11:53 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-07-04 09:59 . 2008-07-08 13:01 -------- d-----w- c:\programme\Lexmark X1100 Series
2009-06-30 17:34 . 2009-06-30 17:34 -------- d-----w- c:\programme\DivX
2009-06-30 17:34 . 2009-06-30 17:34 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-06-29 15:55 . 2003-04-02 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2007-09-08 13:35 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2003-04-02 12:00 17408 ------w- c:\windows\system32\corpol.dll
2009-06-20 17:22 . 2009-06-20 17:22 -------- d-----w- c:\programme\Catan GmbH
2009-06-16 14:36 . 2003-04-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2003-04-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-14 10:24 . 2007-09-08 15:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-06-03 19:09 . 2003-04-02 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-28 16:28 . 2009-06-03 07:41 81 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Acreon\WowMatrix\Archives\Informant\Libs\LibExtraTip\contrib\processDoc.bat
2009-05-28 16:28 . 2009-06-03 07:41 81 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Acreon\WowMatrix\Archives\Enchantrix-Barker\Libs\LibExtraTip\contrib\processDoc.bat
2009-05-28 16:28 . 2009-06-03 07:41 81 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Acreon\WowMatrix\Archives\Enchantrix\Libs\LibExtraTip\contrib\processDoc.bat
2009-05-13 21:56 . 2007-09-09 18:53 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys
2009-05-13 21:56 . 2009-06-30 17:34 129784 ------w- c:\windows\system32\pxafs.dll
2009-05-13 21:56 . 2009-06-30 17:34 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-05-13 21:56 . 2009-06-30 17:34 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-05-13 21:54 . 2009-05-13 21:54 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-05-13 21:54 . 2009-05-13 21:54 823296 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-05-13 21:54 . 2009-05-13 21:54 823296 ----a-w- c:\windows\system32\divx_xx07.dll
2009-05-13 21:54 . 2009-05-13 21:54 815104 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-05-13 21:54 . 2009-05-13 21:54 811008 ----a-w- c:\windows\system32\divx_xx16.dll
2009-05-13 21:54 . 2009-05-13 21:54 802816 ----a-w- c:\windows\system32\divx_xx11.dll
2009-05-13 21:54 . 2009-05-13 21:54 685056 ----a-w- c:\windows\system32\DivX.dll
2009-05-07 15:32 . 2003-04-02 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-07-15 21:31 . 2009-08-03 18:42 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

Alt 03.08.2009, 20:08   #20
LolliBunny
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


((((((((((((((((((((((((((((( SnapShot@2009-08-03_16.53.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-03 18:57 . 2009-08-03 18:57 40960 c:\windows\temp\rtdrvmon.exe
- 2009-08-03 16:52 . 2009-08-03 16:52 40960 c:\windows\Temp\rtdrvmon.exe
+ 2009-08-03 18:57 . 2009-08-03 18:57 16384 c:\windows\temp\Perflib_Perfdata_3b0.dat
+ 2009-07-03 17:26 . 2009-08-03 18:48 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2009-07-03 17:26 . 2009-07-03 17:26 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2009-07-18 03:21 . 2009-07-18 03:21 257440 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2009-08-03 18:46 . 2009-08-03 18:46 148888 c:\windows\system32\javaws.exe
- 2009-07-04 09:50 . 2009-07-04 09:49 148888 c:\windows\system32\javaws.exe
+ 2009-08-03 18:46 . 2009-08-03 18:46 144792 c:\windows\system32\javaw.exe
- 2009-07-04 09:50 . 2009-07-04 09:49 144792 c:\windows\system32\javaw.exe
+ 2009-08-03 18:46 . 2009-08-03 18:46 144792 c:\windows\system32\java.exe
- 2009-07-04 09:50 . 2009-07-04 09:49 144792 c:\windows\system32\java.exe
+ 2009-08-03 18:46 . 2009-08-03 18:46 536576 c:\windows\Installer\aee0c.msi
+ 2009-07-18 03:21 . 2009-07-18 03:21 3883424 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 81920]
"MobMapUpdater"="d:\programme\MobMapUpdater\MobMapUpdater.exe" [2008-11-05 1770624]
"BLASC"="c:\programme\buffed.de\Blasc\BLASC.exe" [2009-05-18 2247168]
"CurseClient"="c:\programme\Curse\CurseClient.exe" [2009-08-02 1935360]
"Sony Ericsson PC Suite"="d:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-02 397312]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windows\System32\JMRaidSetup.exe" [2007-02-06 1953792]
"WinampAgent"="d:\programme\Winamp\winampa.exe" [2006-06-21 35328]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe" [2009-04-30 233336]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-01-26 495616]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-11-8 110592]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"=
"d:\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\World of Warcraft\\WoW-2.2.3.7359-to-2.3.0.7561-deDE-downloader.exe"=
"d:\\Spiele\\Warcraft III\\Warcraft III.exe"=
"d:\\World of Warcraft Public Test\\Launcher.exe"=
"d:\\World of Warcraft Public Test\\WoW-0.1.0-deDE-downloader.exe"=
"d:\\Spiele\\Unreal Anthology\\UT2004\\System\\UT2004.exe"=
"d:\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\Curse\\CurseClient.exe"=
"d:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 32784]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [02.08.2009 08:57 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [02.08.2009 08:57 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [02.08.2009 08:57 114472]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [02.08.2009 08:57 108200]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [02.08.2009 08:57 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [02.08.2009 08:57 104616]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [02.08.2009 08:57 109736]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [03.11.2007 18:17 61536]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [02.08.2009 08:16 9360]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [02.08.2009 08:16 97088]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [02.08.2009 08:17 88624]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [02.08.2009 08:17 18704]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [02.08.2009 08:16 86432]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [02.08.2009 08:17 90800]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\ie_banner_deny.htm
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\stc064o9.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npunagi2.dll
FF - plugin: d:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: d:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-03 20:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3188)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programme\NVIDIA Corporation\nTune\nTuneService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\programme\Lexmark X1100 Series\lxbkbmon.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-03 21:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-03 19:00
ComboFix2.txt 2009-08-03 16:57

Vor Suchlauf: 6.671.638.528 Bytes frei
Nach Suchlauf: 6.606.614.528 Bytes frei

312 --- E O F --- 2009-07-30 15:19


Alt 03.08.2009, 20:15   #21
john.doe
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


1.) Start => Ausführen => combofix /u => OK

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

3.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
ciao, andreas
__________________
--> WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?

Alt 03.08.2009, 20:34   #22
LolliBunny
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Also PrevX zeigt an das mein System clear ist.

Nun läuft der Active Scan.

Alt 03.08.2009, 20:35   #23
john.doe
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Deinstalliere PrevxCSI gleich wieder.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.08.2009, 20:44   #24
LolliBunny
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Erledigt. Der Scan wird aber wahrscheinlich noch lange laufen ^^.

Danke nochmals

Steffi

Alt 03.08.2009, 21:18   #25
john.doe
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Ja, Panda ist sehr pingelig, dafür findet er aber auch viel.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 04.08.2009, 04:09   #26
LolliBunny
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Morgen

Hier der Log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-08-04 05:06:01
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Security Suite CBE 09 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\besitzer@atwola[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\besitzer@smartadserver[1].txt
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location +
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description +
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

MfG

Steffi

Alt 04.08.2009, 16:03   #27
john.doe
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Das sieht gut aus.

1.) Deinstalliere Panda Active Scan.

2.) Wie geht es dem Rechner? Noch irgendwelche Meldungen oder Auffälligkeiten?

3.) Poste bitte noch ein neues HJT-Log.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 04.08.2009, 16:46   #28
LolliBunny
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Huhu,

also dem Rechner geht es gut auch keine weiteren Meldungen.

Hier der aktuellste Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:43:29, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
D:\Programme\MobMapUpdater\MobMapUpdater.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\buffed.de\Blasc\BLASC.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Curse\CurseClient.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [MobMapUpdater] "D:\Programme\MobMapUpdater\MobMapUpdater.exe" --silent
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed.de\Blasc\BLASC.exe" silent
O4 - HKCU\..\Run: [CurseClient] C:\Programme\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189260352562
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://www.tgrthaber.com.tr/CanliYayin/ampx2.6.1.11_en_dl.cab
O23 - Service: Kaspersky Security Suite CBE 09 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6494 bytes

Alt 04.08.2009, 17:09   #29
john.doe
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Es gibt schon den MSIE8. Bei Gelegenheit mal updaten. Das kannst du auch Secunia überlassen => Vulnerability Scanning - Secunia.com

Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R0, R1, R3, O8, O9 und O16-Einträge
=> Fix checked

Du bist entlassen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 04.08.2009, 18:45   #30
LolliBunny
 
WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - Standard

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


Habe ich gemacht. Endlich mein Rechner fit.

Ich weiss gar nicht wie ich mich bedanken soll. Warst einfach super nett hast alles verständlich erklärt, auch wenn ich immer noch nicht weiss was ich da alles eigentlich gemacht habe.

Vielen lieben Dank nochmals.

LG

Steffi

Antwort
Seite 2 von 2 1 2

Themen zu WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?
adobe, avp, avp.exe, bho, curse, dll, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, monitor, mozilla, nvidia, outlook express, photoshop, plug-in, rundll, scan, schutz, security, security suite, server, software, system, teamspeak, windows, windows xp


« Log-File Untersuchung, bin ich noch zu retten? | Infiziert? »


Ähnliche Themen: WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?


  1. Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.
    Plagegeister aller Art und deren Bekämpfung - 27.02.2011 (23)
  2. Virus oder Trojaner legt das System lahm, Sweet.Home wird vermutet
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (3)
  3. Könntet ihr euch mal meinen Lof File ansehen
    Log-Analyse und Auswertung - 12.07.2009 (3)
  4. Könnt ihr euch die File bitte mal ansehen?
    Log-Analyse und Auswertung - 12.07.2009 (1)
  5. HiJackThis Log - könnt ihr euch das mal bitte ansehen?
    Log-Analyse und Auswertung - 05.07.2009 (6)
  6. Könntet Ihr euch bitte mal diesen Hijackhis ansehen
    Log-Analyse und Auswertung - 15.07.2008 (1)
  7. Könntet Ihr euch bitte mal diesen HiJack.log ansehen?
    Log-Analyse und Auswertung - 14.07.2008 (8)
  8. World of Warcraft Account gehackt - Spyware vermutet
    Log-Analyse und Auswertung - 23.06.2008 (17)
  9. Könnt ihr euch mal mein Logfile ansehen?
    Mülltonne - 11.08.2007 (0)
  10. Könntet ihr euch mal bitte mein LogFile ansehen
    Log-Analyse und Auswertung - 19.03.2007 (2)
  11. Könntet ihr euch bitte meinen Log ansehen?
    Log-Analyse und Auswertung - 21.11.2006 (5)
  12. könntet ihr euch bitte mal meine HiJackThis-Log angucken?
    Log-Analyse und Auswertung - 12.07.2006 (10)
  13. Vielleicht könntet ihr mal bitte den Log navh PRobs durchschaun
    Log-Analyse und Auswertung - 12.12.2005 (3)
  14. PSGuard - Könnt Ihr Euch das mal ansehen?
    Log-Analyse und Auswertung - 01.11.2005 (11)
  15. Könntet ihr euch das mal anschauen? :)
    Log-Analyse und Auswertung - 03.06.2005 (19)
  16. HIJ-Log! Vielleicht kann es sich mal jeamnd ansehen!
    Log-Analyse und Auswertung - 09.04.2005 (11)
  17. Könnt ihr euch mein Log mal ansehen?
    Log-Analyse und Auswertung - 24.02.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? - 1.) Deinstalliere: Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742 Adobe Flash Player 10 Plugin Adobe Flash Player 9 ActiveX Adobe Flash Player ActiveX Adobe Reader 8.1.2 - Deutsch - WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?...
Archiv
Du betrachtest: WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131