Multipler Befall von Trojanern

MattKirby · 26.03.2011, 20:21

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-03-25.04 - FelixBrück 26.03.2011  19:12:41.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.2876 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\FelixBrück\Desktop\CoFi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\jestertb.dll
c:\windows\system32\kock
c:\windows\system32\UAs
c:\windows\system32\UAs\iexplore.exe_UAs001.dat
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-26 bis 2011-03-26  ))))))))))))))))))))))))))))))
.
.
2011-03-25 18:09 . 2011-03-25 18:09	--------	d-----w-	C:\_OTL
2011-03-24 21:51 . 2011-03-24 21:51	--------	d--h--w-	c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\Malwarebytes
2011-03-24 21:51 . 2010-12-20 17:09	38224	---ha-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-24 21:51 . 2011-03-24 21:51	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-24 21:51 . 2010-12-20 17:08	20952	---ha-w-	c:\windows\system32\drivers\mbam.sys
2011-03-24 21:51 . 2011-03-24 21:51	--------	d--h--w-	c:\programme\Malwarebytes' Anti-Malware
2011-03-24 21:44 . 2011-03-24 21:44	--------	d--h--w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Threat Expert
2011-03-24 21:44 . 2011-03-24 21:44	--------	d--h--w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoft
2011-03-24 21:44 . 2011-03-24 21:44	--------	d--h--w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Conduit
2011-03-24 21:44 . 2011-03-24 21:44	--------	d--h--r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-03-24 21:33 . 2011-03-24 21:33	--------	d--h--w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2011-03-24 21:29 . 2011-03-26 12:33	--------	d--h--w-	c:\dokumente und einstellungen\FelixBrück\Lokale Einstellungen\Anwendungsdaten\Temp
2011-03-24 21:28 . 2011-03-24 21:28	--------	d--h--w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2011-03-24 21:28 . 2011-03-24 21:31	--------	d--h--w-	c:\dokumente und einstellungen\FelixBrück\Lokale Einstellungen\Anwendungsdaten\Google
2011-03-24 21:28 . 2011-03-24 21:30	--------	d--h--w-	c:\programme\Google
2011-03-24 21:26 . 2011-03-24 21:57	--------	d--ha-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-03-24 21:24 . 2011-03-24 21:56	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2011-03-12 11:28 . 2011-03-12 11:28	103864	---ha-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-03-12 11:28 . 2011-03-12 11:28	103864	---ha-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2011-03-04 00:12 . 2011-03-04 00:12	2107	---ha-w-	c:\dokumente und einstellungen\FelixBrück\test.js
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-26 11:44 . 2009-08-08 21:06	0	--sh--w-	c:\windows\S7E0CFD01.tmp
2011-02-09 13:53 . 2002-08-29 12:00	270848	---ha-w-	c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2002-08-29 12:00	186880	---ha-w-	c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2008-12-31 13:12	2067456	---ha-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-12-31 13:12	677888	---ha-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2002-08-29 12:00	440832	---ha-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2002-08-29 12:00	290048	---ha-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2002-08-29 12:00	1855104	---ha-w-	c:\windows\system32\win32k.sys
2006-05-03 10:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47	31232	-csh--r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30	216064	-csh--r-	c:\windows\system32\nbDX.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-10-18 3908192]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 10:26	3908192	---ha-w-	c:\programme\ConduitEngine\ConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 08:08	2393184	---ha-w-	c:\programme\DVDVideoSoftTB\tbDVDV.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2010-10-18 10:26	3908192	---ha-w-	c:\programme\DVDVideoSoft\tbDVD0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-10-18 3908192]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-10-18 3908192]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-06-29 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Kone"="c:\programme\ROCCAT\Kone Mouse\KoneHID.EXE" [2009-09-15 180224]
"Launch LGDCore"="c:\programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1126400]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\FelixBrck\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"f:\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"=
"f:\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"f:\\World of Warcraft\\WoW-x.x.x.x-4.0.0.12911-EU-Downloader.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.07.2009 09:27 108289]
R3 KoneFltr;ROCCAT Kone;c:\windows\system32\drivers\Kone.sys [10.06.2010 15:55 13056]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.03.2011 22:28 136176]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 ZD1211BU(Atheros);Atheros ZD1211B IEEE 802.11 Wireless LAN Driver (USB)(Atheros);c:\windows\system32\drivers\ZD1211BU.sys [07.02.2011 13:08 722432]
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-03-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-03-24 21:28]
.
2011-03-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-03-24 21:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\FelixBrück\Anwendungsdaten\Mozilla\Firefox\Profiles\na02next.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - www.spiegel.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=2&q=
FF - prefs.js: network.proxy.type - 4
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: JavaString Helper: {E5886C91-CDD7-4832-B32D-0830705A9C60} - c:\windows\system32\5011
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: JavaString Helper: {E5886C91-CDD7-4832-B32D-0830705A9C60} - c:\windows\system32\5011
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{E5886C91-CDD7-4832-B32D-0830705A9C60} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-Launch LCDMon - c:\programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-26 19:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-03-26  19:16:16
ComboFix-quarantined-files.txt  2011-03-26 18:16
.
Vor Suchlauf: 2 Verzeichnis(se), 23.194.259.456 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 23.176.794.112 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /Execute=OptOut
.
- - End Of File - - 4F0B85945E89EE359B06EB9C75F00CF1

--- --- ---

Multipler Befall von Trojanern

Log-Analyse und Auswertung: Multipler Befall von Trojanern

Multipler Befall von Trojanern

Ähnliche Themen: Multipler Befall von Trojanern