| |
| |||||||
Log-Analyse und Auswertung: Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
31.07.2010, 21:55
| #16 |
 |  Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem! Ja. Es ist ein "versteckter Prozess" den man im normalen XP task manager nicht sehen kann und nur mit dem Tool von mir sieht. Langsam aber sicher komme ich auf den gedanken meine festplatte platt zu machen und alles zu löschen... gibs denn da keinen ausweg? |
|
01.08.2010, 19:19
| #17 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem! Dann bitte jetzt CF ausführen:
__________________ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ |
|
01.08.2010, 20:35
| #18 |
| | Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem! So ich habe alles ausführlich gelesen und natürlich so ausgeführt wie beschrieben.
__________________Das kam debei raus -------------------- Combofix Logfile: Code:
ATTFilter ComboFix 10-07-31.04 - Bastian 01.08.2010 21:21:36.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1635 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Bastian\Desktop\cofi.exe.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Thumbs.db
c:\winxp\system32\dbfb.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-01 bis 2010-08-01 ))))))))))))))))))))))))))))))
.
2010-08-01 19:27 . 2010-08-01 19:27 -------- d-----w- c:\winxp\system32\xircom
2010-08-01 19:27 . 2010-08-01 19:27 -------- d-----w- c:\winxp\system32\wbem\snmp
2010-08-01 19:27 . 2010-08-01 19:27 -------- d-----w- c:\programme\microsoft frontpage
2010-07-31 18:19 . 2010-07-21 17:50 81920 ----a-w- c:\winxp\system32\remover.exe
2010-07-31 12:14 . 2010-07-31 12:14 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Malwarebytes
2010-07-31 12:14 . 2010-04-29 10:19 38224 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2010-07-31 12:14 . 2010-07-31 12:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-07-31 12:14 . 2010-07-31 12:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-31 12:14 . 2010-04-29 10:19 20952 ----a-w- c:\winxp\system32\drivers\mbam.sys
2010-07-30 18:28 . 2010-07-30 18:28 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Process Hacker 2
2010-07-30 16:15 . 2010-07-30 16:15 -------- d-----w- c:\dokumente und einstellungen\Bastian\Lokale Einstellungen\Anwendungsdaten\Threat Expert
2010-07-30 16:02 . 2010-07-30 17:29 -------- d-----w- c:\programme\Spyware Doctor
2010-07-30 16:00 . 2010-07-30 16:22 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-07-30 15:20 . 1997-11-19 13:49 303616 ----a-w- c:\winxp\IsUninst.exe
2010-07-30 15:10 . 2010-07-30 15:10 -------- d-----w- c:\programme\Process Revealer Free Edition
2010-07-30 15:10 . 2010-07-30 15:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\prfree
2010-07-30 14:54 . 2010-07-30 14:56 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\QuickScan
2010-07-30 14:13 . 2010-07-30 14:13 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-07-29 08:44 . 2010-07-29 08:44 88760 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\libola.dll
2010-07-29 08:44 . 2010-07-29 08:44 387768 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\ksn_client.dll
2010-07-29 08:44 . 2010-07-29 08:44 264888 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\esmgr.dll
2010-07-29 08:44 . 2010-07-29 08:44 191160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\klwtbbho.dll
2010-07-29 08:44 . 2010-07-29 08:44 88760 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\libola.dll
2010-07-29 08:44 . 2010-07-29 08:44 387768 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\ksn_client.dll
2010-07-29 08:44 . 2010-07-29 08:44 191160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\klwtbbho.dll
2010-07-29 08:44 . 2010-07-29 08:44 264888 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\esmgr.dll
2010-07-29 08:40 . 2010-07-29 08:40 283984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-07-29 08:38 . 2010-07-29 15:46 97549 ----a-w- c:\winxp\system32\drivers\klick.dat
2010-07-29 08:38 . 2010-07-29 15:46 113933 ----a-w- c:\winxp\system32\drivers\klin.dat
2010-07-29 08:37 . 2010-08-01 19:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-07-29 08:37 . 2010-07-29 08:37 -------- d-----w- c:\programme\Kaspersky Lab
2010-07-29 08:30 . 2010-07-29 08:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-07-28 12:33 . 2010-07-28 12:33 503808 ----a-w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b8cf784-n\msvcp71.dll
2010-07-28 12:33 . 2010-07-28 12:33 499712 ----a-w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b8cf784-n\jmc.dll
2010-07-28 12:33 . 2010-07-28 12:33 348160 ----a-w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b8cf784-n\msvcr71.dll
2010-07-28 12:32 . 2010-07-28 12:32 61440 ----a-w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-69398388-n\decora-sse.dll
2010-07-28 12:32 . 2010-07-28 12:32 12800 ----a-w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-69398388-n\decora-d3d.dll
2010-07-28 12:32 . 2010-07-17 03:00 423656 ----a-w- c:\winxp\system32\deployJava1.dll
2010-07-28 10:17 . 2010-07-28 10:17 -------- d-----w- c:\programme\CCleaner
2010-07-27 10:57 . 2010-07-31 21:30 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\PriceGong
2010-07-27 10:57 . 2010-07-27 10:57 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-27 09:16 . 2010-07-27 09:16 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Toolbar4
2010-07-27 09:16 . 2010-07-27 10:57 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-07-27 08:25 . 2010-07-27 08:25 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-26 10:29 . 2010-07-26 10:29 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Red Kawa
2010-07-25 14:05 . 2010-07-30 16:15 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\PriceGong
2010-07-19 18:30 . 2010-07-19 18:30 -------- d-----w- c:\dokumente und einstellungen\Bastian\Lokale Einstellungen\Anwendungsdaten\Geckofx
2010-07-19 18:30 . 2010-07-19 18:30 -------- d-----w- c:\programme\AviSynth 2.5
2010-07-19 18:30 . 2010-07-19 18:30 -------- d-----w- c:\programme\Red Kawa
2010-07-18 13:33 . 2010-07-19 18:29 -------- d-----w- c:\programme\Free Video Converter
2010-07-18 13:33 . 2010-07-19 18:10 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\FreeVideoConverter
2010-07-18 13:31 . 2010-07-28 12:28 -------- d-----w- c:\dokumente und einstellungen\Bastian\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-07-18 13:31 . 2010-07-25 14:05 -------- d-----w- c:\dokumente und einstellungen\Bastian\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-18 13:31 . 2010-07-18 13:31 -------- d-----w- c:\programme\Conduit
2010-07-18 13:31 . 2010-07-25 14:05 -------- d-----w- c:\programme\DVDVideoSoftTB
2010-07-16 19:26 . 2010-07-16 19:26 -------- d-----w- c:\dokumente und einstellungen\Bastian\Lokale Einstellungen\Anwendungsdaten\Help
2010-07-14 12:29 . 2010-07-14 12:29 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Publish Providers
2010-07-14 12:27 . 2010-07-16 19:25 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Sony
2010-07-14 12:27 . 2010-07-14 12:27 -------- d-----w- c:\dokumente und einstellungen\Bastian\Lokale Einstellungen\Anwendungsdaten\Sony
2010-07-14 12:26 . 2010-07-14 12:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony
2010-07-14 12:26 . 2010-07-14 12:26 -------- d-----w- c:\programme\Sony
2010-07-14 12:23 . 2010-07-14 12:23 -------- d-----w- c:\programme\MSBuild
2010-07-14 12:23 . 2010-07-15 23:15 133120 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-07-14 12:20 . 2010-07-14 12:20 -------- d-----w- c:\winxp\system32\XPSViewer
2010-07-14 12:20 . 2010-07-14 12:20 -------- d-----w- c:\programme\Reference Assemblies
2010-07-14 12:20 . 2006-10-14 14:43 27648 ----a-w- c:\winxp\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-07-14 12:20 . 2006-06-29 11:07 14048 ------w- c:\winxp\system32\spmsg2.dll
2010-07-14 12:17 . 2010-07-14 12:18 52770576 ----a-w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Sony Setup\64993CD0-67D1-4244-A2BC-FD73F4DA5B62\dotnetfx3.exe
2010-07-14 12:17 . 2010-07-14 12:17 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Sony Setup
2010-07-13 22:03 . 2010-07-13 22:03 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\MAGIX
2010-07-13 22:02 . 2010-07-13 22:02 -------- d-----w- c:\dokumente und einstellungen\Bastian\Lokale Einstellungen\Anwendungsdaten\Xara
2010-07-13 22:02 . 2010-07-13 22:02 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Shared
2010-07-13 22:02 . 2007-04-27 07:43 120200 ----a-w- c:\winxp\system32\DLLDEV32i.dll
2010-07-13 22:01 . 2010-07-13 22:02 -------- d-----w- c:\programme\MAGIX
2010-07-13 22:01 . 2010-07-13 22:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2010-07-13 22:01 . 2010-07-13 22:02 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Services
2010-07-13 18:52 . 2010-07-18 13:22 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-13 18:52 . 2010-07-18 13:22 -------- d-----w- c:\programme\DVDVideoSoft
2010-07-12 17:18 . 2010-07-12 17:18 10134 ----a-r- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Microsoft\Installer\{9FD6F1A8-5550-46AF-8509-271DF0E768B5}\ARPPRODUCTICON.exe
2010-07-12 17:18 . 2007-06-29 12:47 34304 ----a-w- c:\winxp\system32\drivers\AmdLLD.sys
2010-07-12 17:18 . 2010-07-12 17:18 -------- d-----w- c:\programme\AMD
2010-07-12 17:17 . 2010-07-12 17:17 -------- d-----w- c:\winxp\D56B0E274A3E46C9B5C1D93D580C099C.TMP
2010-07-11 12:02 . 2010-07-17 21:14 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\vlc
2010-07-11 12:00 . 2010-07-11 12:00 -------- d-----w- c:\programme\VideoLAN
2010-07-06 09:51 . 2010-07-06 09:51 -------- d-----w- c:\dokumente und einstellungen\Bastian\WINDOWS
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-01 16:53 . 2009-09-15 12:29 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Mumble
2010-08-01 14:06 . 2008-08-10 19:06 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Skype
2010-08-01 14:03 . 2008-08-10 19:07 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\skypePM
2010-07-31 15:23 . 2008-07-12 13:03 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\teamspeak2
2010-07-30 17:20 . 2010-05-01 10:37 -------- d-----w- c:\programme\HyperCam Toolbar
2010-07-29 20:07 . 2010-06-05 20:34 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\DNA
2010-07-29 10:25 . 2010-05-28 16:10 -------- d-----w- c:\programme\TeamViewer
2010-07-29 08:44 . 2010-05-06 13:00 283984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-07-28 12:33 . 2008-07-12 12:37 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-07-28 12:32 . 2008-07-12 12:38 -------- d-----w- c:\programme\Java
2010-07-17 23:48 . 2010-02-21 10:41 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\gtk-2.0
2010-07-17 20:29 . 2008-08-12 07:13 304160 ----a-w- C:\StiImg.dat
2010-07-14 12:37 . 2008-07-12 09:32 62808 ----a-w- c:\dokumente und einstellungen\Bastian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-14 12:23 . 2001-08-23 10:00 78708 ----a-w- c:\winxp\system32\perfc007.dat
2010-07-14 12:23 . 2001-08-23 10:00 443102 ----a-w- c:\winxp\system32\perfh007.dat
2010-07-13 09:56 . 2009-02-04 13:03 1 ----a-w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-12 17:17 . 2009-07-06 11:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-07-08 16:24 . 2008-08-07 13:49 -------- d-----w- c:\programme\Windows Live Safety Center
2010-06-30 20:37 . 2008-08-08 14:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-06-30 20:23 . 2010-06-30 20:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-06-29 18:00 . 2010-06-29 17:57 -------- d-----w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\DAEMON Tools Lite
2010-06-29 17:58 . 2010-06-29 17:58 691696 ----a-w- c:\winxp\system32\drivers\sptd.sys
2010-06-29 17:57 . 2010-06-29 17:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2010-06-26 15:44 . 2009-12-22 16:51 -------- d-----w- c:\programme\TeamSpeak 3 Client
2010-05-29 09:18 . 2010-05-29 09:18 257257 ----a-w- c:\dokumente und einstellungen\Bastian\Anwendungsdaten\OpenCandy\OpenCandy_09F0F9731CE343FFA89C95F5351D012A\DLMgr3WrapperUniBlue.exe
2010-05-07 16:18 . 2010-05-07 16:18 247120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\uds.dll
2010-05-07 16:18 . 2010-05-07 16:18 132432 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\dns_client.dll
2010-05-07 16:18 . 2010-05-07 16:18 272984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\sys_critical_obj.dll
2010-05-07 14:26 . 2010-05-07 14:26 92816 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2011 11.0.0.232\German\setup.exe
2010-05-07 10:37 . 2010-05-07 10:37 228024 ----a-w- c:\winxp\system32\klogon.dll
2010-05-07 10:34 . 2010-05-07 10:34 992592 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-05-06 22:19 . 2010-05-06 22:19 132184 ----a-w- c:\winxp\system32\drivers\kl2.sys
2010-05-06 22:19 . 2010-05-06 22:19 132184 ----a-w- c:\winxp\system32\drivers\kl1.sys
.
------- Sigcheck -------
[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-25 2736736]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-07-25 14:05 2736736 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-25 2736736]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-25 2736736]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Diamondback"="c:\programme\Razer\Diamondback\razerhid.exe" [2007-02-14 147456]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-22 16858112]
"LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 127022]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"nwiz"="nwiz.exe" [2008-07-26 1657376]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-07-26 13570048]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-07-26 86016]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe" [2010-05-07 344736]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2007-12-11 124928]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\dokume~1\ALLUSE~1\ANWEND~1\SPYWAR~1\sp_rsdel.exe \??\c:\dokume~1\ALLUSE~1\ANWEND~1\SPYWAR~1\sp_rsdel.dat
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-06-20 02:04 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-04-28 13:06 142120 ----a-w- c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-10-13 16:21 1694208 ------w- c:\programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Spiele\\GUILD WARS\\Gw.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\WINXP\\system32\\rtcshare.exe"=
"d:\\Programme\\alaplaya\\S4League\\S4Client.exe"=
"d:\\Programme\\alaplaya\\S4League\\patcher_s4.exe"=
"d:\\Programme\\alaplaya\\S4League\\HShield\\HSUpdate.exe"=
"d:\\Programme\\alaplaya\\S4League\\HShield\\Update\\autoup.exe"=
"d:\\Soldat\\Soldat.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\WINXP\\system32\\dpvsetup.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"d:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Programme\\League of Legends\\Air\\LolClient.exe"=
"d:\\Programme\\League of Legends\\Game\\League of Legends.exe"=
"d:\\Programme\\2K Games\\Gearbox Software\\Borderlands\\Binaries\\Borderlands.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\Steam\\SteamApps\\1roy23\\counter-strike\\hl.exe"=
"d:\\Programme\\Steam\\SteamApps\\common\\alien swarm\\srcds.exe"=
"d:\\Programme\\Steam\\SteamApps\\common\\alien swarm\\swarm.exe"=
"d:\\Programme\\Steam\\SteamApps\\common\\alien swarm\\bin\\SDKLauncher.exe"=
"d:\\Programme\\Steam\\SteamApps\\1roy23\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"59142:TCP"= 59142:TCP:Pando Media Booster
"59142:UDP"= 59142:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\winxp\system32\drivers\klim5.sys [14.09.2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\winxp\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
R3 Razerlow;Razerlow USB Filter Driver;c:\winxp\system32\drivers\Razerlow.sys [12.07.2008 14:58 13225]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\winxp\system32\drivers\ScreamingBAudio.sys [27.03.2009 14:23 34384]
R3 TTCinergyT2;TerraTec Cinergy T² Driver (TTCinergyT2.sys);c:\winxp\system32\drivers\TTCinergyT2.sys [12.07.2008 18:02 16640]
S1 kl2;Kl2;c:\winxp\system32\drivers\kl2.sys [07.05.2010 00:19 132184]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 npggsvc;nProtect GameGuard Service;c:\winxp\system32\GameMon.des -service --> c:\winxp\system32\GameMon.des -service [?]
S3 PAC207;Trust WB-1400T Webcam;c:\winxp\system32\drivers\PFC027.sys [24.02.2005 09:59 162176]
S3 XDva347;XDva347;\??\c:\winxp\system32\XDva347.sys --> c:\winxp\system32\XDva347.sys [?]
S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [29.06.2010 19:58 691696]
.
Inhalt des "geplante Tasks" Ordners
2010-05-28 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Mozilla\Firefox\Profiles\id44jffz.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
FF - plugin: c:\dokumente und einstellungen\Bastian\Anwendungsdaten\Mozilla\Firefox\Profiles\id44jffz.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-BitTorrent DNA - c:\programme\DNA\btdna.exe
AddRemove-BitTorrent DNA - c:\programme\DNA\btdna.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-01 21:28
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\winxp\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-823518204-1972579041-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:68,15,b0,89,a7,ee,c4,fc,22,5d,0e,ac,eb,9b,7e,96,48,30,56,b2,dd,
5b,34,d8,ef,89,2f,7a,1e,e4,2d,82,26,a0,5c,38,10,96,91,1b,a5,80,61,b6,15,e3,\
"rkeysecu"=hex:ee,cf,92,45,ab,a9,0b,03,2d,2b,ad,e6,6a,04,bc,30
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1000)
c:\winxp\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2680)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winxp\system32\nvsvc32.exe
c:\winxp\system32\Ati2evxx.exe
c:\winxp\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\winxp\RTHDCPL.EXE
c:\winxp\system32\RUNDLL32.EXE
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\winxp\System32\PAStiSvc.exe
c:\programme\Razer\Diamondback\razertra.exe
c:\programme\Razer\Diamondback\razerofa.exe
c:\winxp\system32\wscntfy.exe
c:\winxp\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-01 21:31:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-08-01 19:31
Vor Suchlauf: 16 Verzeichnis(se), 11.112.263.680 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 11.131.994.112 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
- - End Of File - - CC0F51678CC59E104570A54684D045FB
|
|
01.08.2010, 20:39
| #19 |
| | Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem! wohoo so wie es ausschaut ist dieser Prozess TOT ;D normalerweise würde er sich sofort melden und schnell nach dem start wieder werbung machen, das war nicht der fall und auch in meinem Tool zeigt er keinen verstekcten Iexplor Prozess an. Nur befindet sich jetzt eine Internetexplorer Verknüpfung auf dem Desktop, welche ich nicht Löschen oder in einen Ordner verschieben kann. Naja net soo schlimm. darf ich die Confi.exe jetzt löschen? |
|
01.08.2010, 22:30
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem! Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem! |
| adobe, bho, bonjour, computer, einstellungen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet explorer, kaspersky, launch, maleware, mozilla, object, plug-in, problem, rundll, server, software, system, tastatur, temp, trojaner, viren, werbung, windows, windows xp, öffnet |
Linear-Darstellung
