|
Plagegeister aller Art und deren Bekämpfung: Trojaner gefunden - eure Anleitung durchgeführt, was jetzt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.11.2010, 15:57 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Führ doch einfach CF aus
__________________ Logfiles bitte immer in CODE-Tags posten |
23.11.2010, 20:05 | #17 |
| Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Hallo!
__________________habe ct ausgeführt und dann hat das mit einem bluescreen aufgehört mit der Meldung: STOP:C000021a windows logon process wurde unerwartet beendet, status 0x80000007 system wurde heruntergefahren. soll ich den einfach wieder hochfahren oder irgendwas besonderes (abgesicherter modus oder so)? und was dann machen? Danke! |
23.11.2010, 20:59 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Alte cofi löschen, CF neu als cofi herunterladen und bitte nochmal probieren
__________________
__________________ |
23.11.2010, 23:13 | #19 |
| Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Habs noch ein zweites Mal durchgeführt, wieder der blue screen aber hier das logfile: Combofix Logfile: Code:
ATTFilter ComboFix 10-11-23.01 - Veronika 23.11.2010 22:51:09.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.611 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\winlogon.exe . . . ist infiziert!! Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert Kopie von - c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-10-23 bis 2010-11-23 )))))))))))))))))))))))))))))) . 2010-11-22 12:20 . 2010-11-23 17:36 -------- d-----w- c:\programme\CCleaner 2010-11-21 22:42 . 1998-06-24 00:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX 2010-11-21 22:42 . 2001-10-28 16:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll 2010-11-21 22:42 . 2010-11-21 22:43 -------- d-----w- c:\programme\PDFCreator 2010-11-21 22:42 . 1998-07-06 17:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL 2010-11-21 22:42 . 1998-07-06 00:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL 2010-11-21 21:54 . 2010-11-21 21:54 -------- d-----w- C:\_OTL 2010-11-16 22:04 . 2010-11-16 22:04 -------- d-----w- c:\programme\ERUNT 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes 2010-11-16 21:33 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-11-16 21:33 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-11-16 20:22 . 2010-11-16 20:22 -------- d-----w- c:\programme\Outlook Express Freebie Backup 2010-11-16 18:45 . 2010-11-21 23:20 -------- d-----w- C:\program exe dateien 2010-11-16 18:43 . 2010-11-16 18:43 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software 2010-11-16 18:42 . 2010-11-16 18:42 -------- d-----w- c:\programme\Foxit Software 2010-11-16 14:49 . 2010-11-22 20:48 -------- d-----w- c:\windows\system32\NtmsData 2010-11-16 14:48 . 2010-11-21 13:51 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download 2010-11-14 22:23 . 2010-11-14 22:23 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira 2010-11-12 18:46 . 2010-11-12 18:46 4280320 ----a-w- c:\windows\system32\GPhotos.scr 2010-11-02 14:56 . 2010-11-02 14:56 -------- d-----w- c:\programme\OpenXML-ODF Translator 2010-11-02 14:52 . 2010-11-02 14:52 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze 2010-10-26 09:03 . 2010-10-26 09:03 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-22 20:38 . 2009-11-26 12:56 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-16 20:22 . 2008-12-03 15:07 249856 ------w- c:\windows\Setup1.exe 2010-11-16 20:22 . 2009-01-25 20:24 73216 ----a-w- c:\windows\ST6UNST.EXE 2010-11-15 23:09 . 2009-11-26 12:56 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-01-13 09:30 . 2009-01-13 09:30 10522112 ----a-w- c:\programme\vpnclient_setup.msi 2009-01-13 09:30 . 2009-01-13 09:30 56832 ----a-w- c:\programme\vpnclient_setup.exe 2009-01-13 09:30 . 2009-01-13 09:30 1822520 ----a-w- c:\programme\instmsiw.exe 2009-01-13 09:30 . 2009-01-13 09:30 1708856 ----a-w- c:\programme\instmsi.exe 2009-01-13 09:28 . 2009-01-13 09:28 221315 ----a-w- c:\programme\installservice.exe 2009-01-13 09:27 . 2009-01-13 09:27 16505 ----a-w- c:\programme\DelayInst.exe 2007-11-21 17:57 . 2007-11-21 17:57 1440047 ----a-w- c:\programme\wrar371d.exe 2007-07-04 13:00 . 2007-07-04 13:00 4313466 ----a-w- c:\programme\folderaccess2_0freeware.exe 2006-09-28 18:49 . 2006-09-28 18:49 7129900 ----a-w- c:\programme\z-dbackup.exe 2006-03-28 17:43 . 2006-03-28 17:43 11817800 ----a-w- c:\programme\GoogleEarth.exe 2005-12-18 23:15 . 2005-12-18 23:15 12081716 ----a-w- c:\programme\DM-Foto-Assistent.exe 2005-12-18 08:46 . 2005-12-18 08:45 34412848 ----a-w- c:\programme\iTunesSetup.exe 2005-11-12 23:27 . 2005-11-12 23:27 613391 ----a-w- c:\programme\outlook_repair.exe . ------- Sigcheck ------- [-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe [-] 2004-08-04 13:00 . !HASH: COULD NOT OPEN FILE !!!!! . 507392 . . [------] . . c:\windows\system32\winlogon.exe [-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe [-] 2007-06-13 . B90B2D55C704E6BB1375D72635156FFC . 1036288 . . [6.00.2900.3156] . . c:\windows\explorer.exe [7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe [7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024] "EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-10-15 10:27 110592 ----a-w- c:\programme\Intel\Wireless\Bin\LgNotify.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk backup=c:\windows\pss\Device Detector 3.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk backup=c:\windows\pss\VPN Client.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk] path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk backup=c:\windows\pss\Dropbox.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk] path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk backup=c:\windows\pss\Last.fm Helper.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 2005-05-03 05:43 69632 ----a-w- c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] 2010-11-15 23:09 281768 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl] 2005-04-12 11:17 102400 ----a-r- c:\windows\ATK0100\HControl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2009-07-13 12:03 292128 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] 2004-09-24 16:22 1916928 ----a-w- c:\programme\nero\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear] 2004-09-21 15:55 81920 ----a-w- c:\programme\Asus\Power4 Gear\BatteryLife.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2005-01-12 01:01 32768 ----a-w- c:\programme\CyberLink\PowrDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] 2005-05-25 02:37 14477312 ----a-w- c:\windows\RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient] 2002-12-16 14:51 36864 ----a-w- c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-01-25 20:37 136600 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] 2004-12-22 00:23 688218 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] 2004-12-22 00:23 98394 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup] 2003-03-31 17:28 155648 ----a-w- c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe] 2007-04-11 17:00 32768 ----a-r- c:\windows\V0470Mon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2007-02-13 18:29 35328 ----a-w- c:\programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) "gusvc"=3 (0x3) "DM1Service"=2 (0x2) "usnjsvc"=3 (0x3) "S24EventMonitor"=2 (0x2) "Adobe LM Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableNotifications"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\SightSpeed\\SightSpeed.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088] R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264] R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336] R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536] R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496] S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824] S3 I80swebtindm;I80swebtindm; [x] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?] S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368] . Inhalt des "geplante Tasks" Ordners 2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://de.znout.org/index.php?color=black uInternet Settings,ProxyOverride = <local> uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-11-23 23:02 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1476) c:\windows\system32\Ati2evxx.dll c:\programme\Intel\Wireless\Bin\LgNotify.dll - - - - - - - > 'explorer.exe'(1968) c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Cisco Systems\VPN Client\cvpnd.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\LckFldService.exe c:\windows\system32\NMSAccessU.exe c:\programme\Intel\Wireless\Bin\OProtSvc.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\wdfmgr.exe c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe c:\windows\system32\Ati2evxx.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-11-23 23:09:02 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-11-23 22:08 ComboFix2.txt 2010-11-23 21:35 Vor Suchlauf: 19 Verzeichnis(se), 18.536.435.200 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 18.516.918.272 Bytes frei - - End Of File - - 16A61CC7AA6E558513C3E34F3ED9554A |
23.11.2010, 23:20 | #20 |
| Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? und hier häng ich dir noch das cf log vom ersten scan an, das hat er dann beim Hochfahren angezeigt. Lieben Dank! |
24.11.2010, 09:50 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Ich hab Dir drei Dateien mal hochgeladen, die bei Dir infiziert sind => File-Upload.net - cosinus.zip Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\cosinus (Passwort der zip ist veribul ) Dann gehts so weiter: PartedMagic 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein 2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist 4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken 5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1 6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen: Code:
ATTFilter /windows/system32/winlogon.exe.vir /windows/system32/ctfmon.exe.vir /windows/explorer.exe.vir Code:
ATTFilter /cosinus/explorer.exe => /windows/explorer.exe /cosinus/winlogon.exe => /windows/system32/winlogon.exe /cosinus/ctfmon.exe => /windows/system32/ctfmon.exe 8. Starte den Rechner neu und boote Windows 9. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 10. Wenn alles geschafft ist Beischeid geben
__________________ --> Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? |
24.11.2010, 12:58 | #22 |
| brennen von parted magic funktioniert nicht Hallo! Danke erstmal! hab alles runtergeladen und erst mit nero 2x, dann mit imgburn versucht die datei zu brennen als image, aber der pc hat sich jedes mal aufgehängt. bei imgburn hat er von einem fehler gesprochen und es nochmal versucht aber dann ist er auch abgestürzt. soll ich die datei nochmal neu runterladen? oder geht das auch mit usb-stick? lg |
24.11.2010, 17:24 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Das was du runterlädst ist eine zip Datei! Die musst du vorher entpacken, dann kommt eine iso Datei die man als Image brennen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
24.11.2010, 23:52 | #24 |
| Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Hab schon versucht das Iso zu brennen, hat an nem anderen PC auch geklappt aber danach hat mir ImgBurn sehr viele Read-errors angezeigt und das starten von der CD hat dann auch nicht geklappt: hat zwar kurz angefanen davon zu booten, aber dann gesagt: error und retry und dann hat er das ganze nochmal angefangen. kann man das parted magic noch woanders runterladen? lg |
25.11.2010, 11:46 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Du machst beim Brennen was flasch. Brenn mal langsamer, max. 16x!
__________________ Logfiles bitte immer in CODE-Tags posten |
25.11.2010, 15:25 | #26 |
| Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? ok, hab dir die Sachen übern den uploadchannel geschickt! liebe Gruesse, Veronika |
25.11.2010, 15:48 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Dann jetzt bitte einen neuen Durchgang mit CF machen - die alte cofi vorher löschen und CF wieder als cofi.exe neu herunterladen, Rest wie gehabt.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.11.2010, 16:10 | #28 |
| Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? hier die Logdatei vom neuen CF, lg, Veronika Combofix Logfile: Code:
ATTFilter ComboFix 10-11-24.04 - Veronika 25.11.2010 15:58:34.3.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.622 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C} * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2010-10-25 bis 2010-11-25 )))))))))))))))))))))))))))))) . 2010-11-25 15:14 . 2008-04-14 12:00 513024 ----a-w- c:\windows\system32\winlogon.exe 2010-11-25 15:12 . 2008-04-14 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe 2010-11-25 15:11 . 2008-04-14 12:00 1036800 ----a-w- c:\windows\explorer.exe 2010-11-25 14:17 . 2010-11-25 14:17 -------- d-----w- c:\windows\system32\LogFiles 2010-11-24 16:17 . 2010-11-24 16:17 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn 2010-11-24 10:54 . 2010-11-24 10:54 -------- d-----w- c:\programme\ImgBurn 2010-11-24 09:16 . 2010-11-24 09:39 -------- d-----w- C:\cosinus 2010-11-22 12:20 . 2010-11-23 17:36 -------- d-----w- c:\programme\CCleaner 2010-11-21 22:42 . 1998-06-24 00:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX 2010-11-21 22:42 . 2001-10-28 16:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll 2010-11-21 22:42 . 2010-11-21 22:43 -------- d-----w- c:\programme\PDFCreator 2010-11-21 22:42 . 1998-07-06 17:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL 2010-11-21 22:42 . 1998-07-06 00:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL 2010-11-21 21:54 . 2010-11-21 21:54 -------- d-----w- C:\_OTL 2010-11-16 22:04 . 2010-11-16 22:04 -------- d-----w- c:\programme\ERUNT 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes 2010-11-16 21:33 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-11-16 21:33 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-11-16 20:22 . 2010-11-16 20:22 -------- d-----w- c:\programme\Outlook Express Freebie Backup 2010-11-16 18:45 . 2010-11-21 23:20 -------- d-----w- C:\program exe dateien 2010-11-16 18:43 . 2010-11-16 18:43 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software 2010-11-16 18:42 . 2010-11-16 18:42 -------- d-----w- c:\programme\Foxit Software 2010-11-16 14:49 . 2010-11-22 20:48 -------- d-----w- c:\windows\system32\NtmsData 2010-11-16 14:48 . 2010-11-21 13:51 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download 2010-11-14 22:23 . 2010-11-14 22:23 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira 2010-11-12 18:46 . 2010-11-12 18:46 4280320 ----a-w- c:\windows\system32\GPhotos.scr 2010-11-02 14:56 . 2010-11-02 14:56 -------- d-----w- c:\programme\OpenXML-ODF Translator 2010-11-02 14:52 . 2010-11-02 14:52 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-22 20:38 . 2009-11-26 12:56 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-16 20:22 . 2008-12-03 15:07 249856 ------w- c:\windows\Setup1.exe 2010-11-16 20:22 . 2009-01-25 20:24 73216 ----a-w- c:\windows\ST6UNST.EXE 2010-11-15 23:09 . 2009-11-26 12:56 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-01-13 09:30 . 2009-01-13 09:30 10522112 ----a-w- c:\programme\vpnclient_setup.msi 2009-01-13 09:30 . 2009-01-13 09:30 56832 ----a-w- c:\programme\vpnclient_setup.exe 2009-01-13 09:30 . 2009-01-13 09:30 1822520 ----a-w- c:\programme\instmsiw.exe 2009-01-13 09:30 . 2009-01-13 09:30 1708856 ----a-w- c:\programme\instmsi.exe 2009-01-13 09:28 . 2009-01-13 09:28 221315 ----a-w- c:\programme\installservice.exe 2009-01-13 09:27 . 2009-01-13 09:27 16505 ----a-w- c:\programme\DelayInst.exe 2007-11-21 17:57 . 2007-11-21 17:57 1440047 ----a-w- c:\programme\wrar371d.exe 2007-07-04 13:00 . 2007-07-04 13:00 4313466 ----a-w- c:\programme\folderaccess2_0freeware.exe 2006-09-28 18:49 . 2006-09-28 18:49 7129900 ----a-w- c:\programme\z-dbackup.exe 2006-03-28 17:43 . 2006-03-28 17:43 11817800 ----a-w- c:\programme\GoogleEarth.exe 2005-12-18 23:15 . 2005-12-18 23:15 12081716 ----a-w- c:\programme\DM-Foto-Assistent.exe 2005-12-18 08:46 . 2005-12-18 08:45 34412848 ----a-w- c:\programme\iTunesSetup.exe 2005-11-12 23:27 . 2005-11-12 23:27 613391 ----a-w- c:\programme\outlook_repair.exe . ------- Sigcheck ------- [-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe [-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe [-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe [-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe [7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe [7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe [-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe [-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe [7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe [7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024] "EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-10-15 10:27 110592 ----a-w- c:\programme\Intel\Wireless\Bin\LgNotify.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk backup=c:\windows\pss\Device Detector 3.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk backup=c:\windows\pss\VPN Client.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk] path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk backup=c:\windows\pss\Dropbox.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk] path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk backup=c:\windows\pss\Last.fm Helper.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 2005-05-03 05:43 69632 ----a-w- c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] 2010-11-15 23:09 281768 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl] 2005-04-12 11:17 102400 ----a-r- c:\windows\ATK0100\HControl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2009-07-13 12:03 292128 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] 2004-09-24 16:22 1916928 ----a-w- c:\programme\nero\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear] 2004-09-21 15:55 81920 ----a-w- c:\programme\Asus\Power4 Gear\BatteryLife.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2005-01-12 01:01 32768 ----a-w- c:\programme\CyberLink\PowrDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] 2005-05-25 02:37 14477312 ----a-w- c:\windows\RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient] 2002-12-16 14:51 36864 ----a-w- c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-01-25 20:37 136600 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] 2004-12-22 00:23 688218 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] 2004-12-22 00:23 98394 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup] 2003-03-31 17:28 155648 ----a-w- c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe] 2007-04-11 17:00 32768 ----a-r- c:\windows\V0470Mon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2007-02-13 18:29 35328 ----a-w- c:\programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) "gusvc"=3 (0x3) "DM1Service"=2 (0x2) "usnjsvc"=3 (0x3) "S24EventMonitor"=2 (0x2) "Adobe LM Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableNotifications"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\SightSpeed\\SightSpeed.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088] R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264] R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336] R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536] R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496] S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824] S3 I80swebtindm;I80swebtindm; [x] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?] S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368] . Inhalt des "geplante Tasks" Ordners 2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://de.znout.org/index.php?color=black uInternet Settings,ProxyOverride = <local> uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-11-25 16:04 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1476) c:\windows\system32\Ati2evxx.dll c:\programme\Intel\Wireless\Bin\LgNotify.dll - - - - - - - > 'explorer.exe'(1264) c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll . Zeit der Fertigstellung: 2010-11-25 16:08:20 ComboFix-quarantined-files.txt 2010-11-25 15:08 ComboFix2.txt 2010-11-23 22:09 ComboFix3.txt 2010-11-23 21:35 Vor Suchlauf: 20 Verzeichnis(se), 18.068.483.584 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 18.045.926.400 Bytes frei - - End Of File - - 80C93B8310CB286C85AB9BE9CA84E660 |
26.11.2010, 18:42 | #29 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- Driver:: I80swebtindm 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
26.11.2010, 19:36 | #30 |
| Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? Hallo! hier das neue Log-File: Combofix Logfile: Code:
ATTFilter ComboFix 10-11-25.06 - Veronika 26.11.2010 19:17:04.4.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.606 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Veronika\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Veronika\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_I80swebtindm ((((((((((((((((((((((( Dateien erstellt von 2010-10-26 bis 2010-11-26 )))))))))))))))))))))))))))))) . 2010-11-25 15:14 . 2008-04-14 12:00 513024 ----a-w- c:\windows\system32\winlogon.exe 2010-11-25 15:12 . 2008-04-14 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe 2010-11-25 15:11 . 2008-04-14 12:00 1036800 ----a-w- c:\windows\explorer.exe 2010-11-25 14:17 . 2010-11-25 14:17 -------- d-----w- c:\windows\system32\LogFiles 2010-11-24 16:17 . 2010-11-24 16:17 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\ImgBurn 2010-11-24 10:54 . 2010-11-24 10:54 -------- d-----w- c:\programme\ImgBurn 2010-11-24 09:16 . 2010-11-24 09:39 -------- d-----w- C:\cosinus 2010-11-22 12:20 . 2010-11-23 17:36 -------- d-----w- c:\programme\CCleaner 2010-11-21 22:42 . 1998-06-24 00:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX 2010-11-21 22:42 . 2001-10-28 16:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll 2010-11-21 22:42 . 2010-11-21 22:43 -------- d-----w- c:\programme\PDFCreator 2010-11-21 22:42 . 1998-07-06 17:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL 2010-11-21 22:42 . 1998-07-06 00:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL 2010-11-21 21:54 . 2010-11-21 21:54 -------- d-----w- C:\_OTL 2010-11-16 22:04 . 2010-11-16 22:04 -------- d-----w- c:\programme\ERUNT 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Malwarebytes 2010-11-16 21:33 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-11-16 21:33 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-16 21:33 . 2010-11-16 21:33 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-11-16 20:22 . 2010-11-16 20:22 -------- d-----w- c:\programme\Outlook Express Freebie Backup 2010-11-16 18:45 . 2010-11-21 23:20 -------- d-----w- C:\program exe dateien 2010-11-16 18:43 . 2010-11-16 18:43 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Foxit Software 2010-11-16 18:42 . 2010-11-16 18:42 -------- d-----w- c:\programme\Foxit Software 2010-11-16 14:49 . 2010-11-22 20:48 -------- d-----w- c:\windows\system32\NtmsData 2010-11-16 14:48 . 2010-11-21 13:51 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\download 2010-11-14 22:23 . 2010-11-14 22:23 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Avira 2010-11-12 18:46 . 2010-11-12 18:46 4280320 ----a-w- c:\windows\system32\GPhotos.scr 2010-11-02 14:56 . 2010-11-02 14:56 -------- d-----w- c:\programme\OpenXML-ODF Translator 2010-11-02 14:52 . 2010-11-02 14:52 -------- d-----w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Gutscheinmieze . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-22 20:38 . 2009-11-26 12:56 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-16 20:22 . 2008-12-03 15:07 249856 ------w- c:\windows\Setup1.exe 2010-11-16 20:22 . 2009-01-25 20:24 73216 ----a-w- c:\windows\ST6UNST.EXE 2010-11-15 23:09 . 2009-11-26 12:56 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-01-13 09:30 . 2009-01-13 09:30 10522112 ----a-w- c:\programme\vpnclient_setup.msi 2009-01-13 09:30 . 2009-01-13 09:30 56832 ----a-w- c:\programme\vpnclient_setup.exe 2009-01-13 09:30 . 2009-01-13 09:30 1822520 ----a-w- c:\programme\instmsiw.exe 2009-01-13 09:30 . 2009-01-13 09:30 1708856 ----a-w- c:\programme\instmsi.exe 2009-01-13 09:28 . 2009-01-13 09:28 221315 ----a-w- c:\programme\installservice.exe 2009-01-13 09:27 . 2009-01-13 09:27 16505 ----a-w- c:\programme\DelayInst.exe 2007-11-21 17:57 . 2007-11-21 17:57 1440047 ----a-w- c:\programme\wrar371d.exe 2007-07-04 13:00 . 2007-07-04 13:00 4313466 ----a-w- c:\programme\folderaccess2_0freeware.exe 2006-09-28 18:49 . 2006-09-28 18:49 7129900 ----a-w- c:\programme\z-dbackup.exe 2006-03-28 17:43 . 2006-03-28 17:43 11817800 ----a-w- c:\programme\GoogleEarth.exe 2005-12-18 23:15 . 2005-12-18 23:15 12081716 ----a-w- c:\programme\DM-Foto-Assistent.exe 2005-12-18 08:46 . 2005-12-18 08:45 34412848 ----a-w- c:\programme\iTunesSetup.exe 2005-11-12 23:27 . 2005-11-12 23:27 613391 ----a-w- c:\programme\outlook_repair.exe . ------- Sigcheck ------- [-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe [-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe [-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe [-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe [7] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe [7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe [-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe [-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe [7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ctfmon.exe [7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ctfmon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024] "EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-25 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-10-15 10:27 110592 ----a-w- c:\programme\Intel\Wireless\Bin\LgNotify.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Device Detector 3.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk backup=c:\windows\pss\Device Detector 3.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk backup=c:\windows\pss\VPN Client.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Dropbox.lnk] path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Dropbox.lnk backup=c:\windows\pss\Dropbox.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Veronika^Startmenü^Programme^Autostart^Last.fm Helper.lnk] path=c:\dokumente und einstellungen\Veronika\Startmenü\Programme\Autostart\Last.fm Helper.lnk backup=c:\windows\pss\Last.fm Helper.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 2005-05-03 05:43 69632 ----a-w- c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] 2010-11-15 23:09 281768 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl] 2005-04-12 11:17 102400 ----a-r- c:\windows\ATK0100\HControl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2009-07-13 12:03 292128 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] 2004-09-24 16:22 1916928 ----a-w- c:\programme\nero\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear] 2004-09-21 15:55 81920 ----a-w- c:\programme\Asus\Power4 Gear\BatteryLife.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2005-01-12 01:01 32768 ----a-w- c:\programme\CyberLink\PowrDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] 2005-05-25 02:37 14477312 ----a-w- c:\windows\RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient] 2002-12-16 14:51 36864 ----a-w- c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-01-25 20:37 136600 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] 2004-12-22 00:23 688218 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] 2004-12-22 00:23 98394 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomcatStartup] 2003-03-31 17:28 155648 ----a-w- c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0470Mon.exe] 2007-04-11 17:00 32768 ----a-r- c:\windows\V0470Mon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2007-02-13 18:29 35328 ----a-w- c:\programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) "gusvc"=3 (0x3) "DM1Service"=2 (0x2) "usnjsvc"=3 (0x3) "S24EventMonitor"=2 (0x2) "Adobe LM Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableNotifications"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\SightSpeed\\SightSpeed.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Dokumente und Einstellungen\\Veronika\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088] R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264] R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [01.01.2006 17:26 81408] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 13:56 135336] R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [01.11.2005 14:09 8768] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.12.2005 16:52 65536] R2 NBSPortDriver;NBSPortDriver;c:\windows\system32\drivers\NBSPortDriver.sys [05.04.2007 13:02 21496] S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [12.11.2005 18:56 5824] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?] S3 VF0470Vid;Live! Cam Notebook (VF0470);c:\windows\system32\drivers\V0470Vid.sys [27.08.2008 18:37 146368] . Inhalt des "geplante Tasks" Ordners 2010-10-16 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://de.znout.org/index.php?color=black uInternet Settings,ProxyOverride = <local> uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab FF - ProfilePath - c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Mozilla\Firefox\Profiles\nsp64q0q.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://de.znout.org/index.php?color=black FF - plugin: c:\programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-11-26 19:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1472) c:\windows\system32\Ati2evxx.dll c:\programme\Intel\Wireless\Bin\LgNotify.dll - - - - - - - > 'explorer.exe'(740) c:\dokumente und einstellungen\Veronika\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Cisco Systems\VPN Client\cvpnd.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\LckFldService.exe c:\windows\system32\NMSAccessU.exe c:\programme\Intel\Wireless\Bin\OProtSvc.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\wdfmgr.exe c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe c:\windows\system32\Ati2evxx.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-11-26 19:32:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-11-26 18:32 ComboFix2.txt 2010-11-25 15:08 ComboFix3.txt 2010-11-23 22:09 ComboFix4.txt 2010-11-23 21:35 Vor Suchlauf: 20 Verzeichnis(se), 18.447.368.192 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 18.330.970.624 Bytes frei - - End Of File - - 2F68DDACB16C0984ABA7AA52D5680E0E |
Themen zu Trojaner gefunden - eure Anleitung durchgeführt, was jetzt? |
abgebrochen, adobe, andere, anleitung, antivir, durchgeführt, files, firefox, formatieren, funktioniert, gelöscht, gen, google, interne, links, nicht mehr, pdf, probleme, rojaner gefunden, schonmal, temporäre, trojaner, trojaner gefunden, virus, virus gefunden, website, öffnen |