| |
| |||||||
Log-Analyse und Auswertung: Trojaner TR/Kazy.mekml1Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
29.04.2011, 20:45
| #1 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Trojaner TR/Kazy.mekml1 Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
29.04.2011, 22:39
| #2 |
 | Trojaner TR/Kazy.mekml1 Nun hat's doch geklappt (musste beim ersten kleinen Fenster 15 Min. warten bis es weiterging). Hier kommt nun der Inhalt der Datei combofix.txt. Hoffe das hilft weiter.
__________________Gruß Elke ... und vielen Dank schon mal für die Hilfe bis hierher! Code:
ATTFilter ComboFix 11-04-29.01 - Elke 29.04.2011 23:17:47.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1918.1421 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Elke\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Elke\Startmenü\Programme\Windows Recovery
c:\dokumente und einstellungen\Elke\Startmenü\Programme\Windows Recovery\Uninstall Windows Recovery.lnk
c:\dokumente und einstellungen\Elke\Startmenü\Programme\Windows Recovery\Windows Recovery.lnk
c:\dokumente und einstellungen\Elke\WINDOWS
C:\Recycle.Bin
c:\recycle.bin\Recycle.Bin.exe
c:\windows\system32\cock
c:\windows\system32\UAs
c:\windows\system32\UAs\iexplore_UAs001.dat
c:\windows\system32msvbvm60.dll
.
Infizierte Kopie von c:\windows\system32\drivers\volsnap.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2011-03-28 bis 2011-04-29 ))))))))))))))))))))))))))))))
.
.
2011-04-27 19:02 . 2011-04-27 19:02 -------- d-----w- c:\programme\CCleaner
2011-04-27 17:53 . 2011-04-27 17:53 5 ----a-w- c:\programme\Gemeinsame Dateien\updkor.sys
2011-04-26 19:01 . 2011-04-26 19:01 -------- d-----w- c:\dokumente und einstellungen\Elke\Lokale Einstellungen\Anwendungsdaten\Mozilla
2011-04-20 18:45 . 2011-04-20 18:45 -------- d-----w- C:\_OTL
2011-04-19 19:16 . 2011-04-19 19:16 -------- d-----w- c:\programme\7-Zip
2011-04-18 18:51 . 2011-04-18 18:51 -------- d-----w- c:\dokumente und einstellungen\Elke\Anwendungsdaten\Malwarebytes
2011-04-18 18:50 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-18 18:50 . 2011-04-18 18:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-18 18:50 . 2011-04-18 18:50 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-16 18:43 . 2009-05-22 20:05 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2008-06-15 10:01 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:44 . 2006-02-28 12:00 434176 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2006-02-28 12:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-17 13:51 . 2006-02-28 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2011-02-17 13:51 . 2006-02-28 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2011-02-17 13:51 . 2006-02-28 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2011-02-17 13:50 . 2006-02-28 12:00 371200 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2006-02-28 12:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2006-02-28 12:00 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2006-02-28 12:00 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-09 13:53 . 2006-02-28 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2006-02-28 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2006-02-28 12:00 978944 ----a-w- c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2006-02-28 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2011-02-02 07:58 . 2008-06-15 09:59 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-04-29 17:58 . 2011-04-26 19:01 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"LMab1err"="c:\programme\Lexmark\ErrorApp\LMab1err.exe" [2008-11-21 590504]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-13 16841216]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-04 149280]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-08-25 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-08-25 81920]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-11 281768]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2007-07-18 20480]
"LMPSSDMON"="c:\programme\Lexmark\Monitor\ACJ\LMabMON.exe" [2008-11-21 753664]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 1189920]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 1962896]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-10-17 87584]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2010-09-15 339312]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
HP LaserJet 3150-Status.lnk - c:\jetsuite\JETSTAT.EXE [2008-6-18 147456]
Live Menu.lnk - c:\programme\Gemeinsame Dateien\efax\dllcmd32.exe [2008-6-18 26112]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFileUrl"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lmabcoms.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R1 jsmux;jsmux;c:\windows\system32\drivers\JSMUX.SYS [18.06.2008 21:27 173880]
R1 jsscan;jsscan;c:\windows\system32\drivers\JSSCAN.SYS [18.06.2008 21:27 56672]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.05.2009 22:05 135336]
R2 jsfax;jsfax;c:\windows\system32\drivers\JSFAX.SYS [18.06.2008 21:27 59604]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [23.06.2008 07:46 264576]
S3 SampleScanner;USB Flatbed Scanner Driver;c:\windows\system32\drivers\ArtecGT.sys [03.01.2011 18:58 18120]
S4 jsdbg;jsdbg;c:\windows\system32\drivers\JSDBG.SYS [18.06.2008 21:27 50352]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
FF - ProfilePath - c:\dokumente und einstellungen\Elke\Anwendungsdaten\Mozilla\Firefox\Profiles\uvn8rxcq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-4E3E0230AEBB4E96 - c:\recycle.bin\Recycle.Bin.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-29 23:23
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1214440339-706699826-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:45,1d,81,05,c0,05,48,1f,df,a8,ef,6c,6b,76,67,e2,82,ee,b2,b7,a9,e7,5c,
fa,1a,dc,8f,fc,bf,88,71,e7,b3,36,92,d3,ff,b0,4a,f6,bf,e4,85,59,7d,4f,f5,6b,\
"??"=hex:44,a3,32,31,24,ac,61,07,b6,f9,ab,d2,97,c8,2b,d0
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2808)
c:\progra~1\GEMEIN~1\efax\HsPfcW32.dll
c:\windows\system32\HotRes32.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\windows\system32\agrsmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\jetsuite\jsdaemon.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\LMabcoms.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\windows\system32\spool\drivers\w32x86\3\WrtProc.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-29 23:28:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-04-29 21:28
.
Vor Suchlauf: 11 Verzeichnis(se), 172.872.077.312 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 172.895.440.896 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - CB651C803843D57B7074A848D1843A1E
|
|
| Themen zu Trojaner TR/Kazy.mekml1 |
| acroiehelpe.dll, ad-aware, antivir, avgntflt.sys, avira, bho, bonjour, ccc.exe, cdburnerxp, desktop, disabletaskmgr, entfernen, excel, excel.exe, fehlercode 1, fehlercode 10, festplatte, flash player, google, home, iexplore.exe, location, logfile, nodrives, oldtimer, otl.exe, picasa, problem, programm, realtek, saver, sched.exe, security, server, shell32.dll, software, system, system error, tcp/ip, trojaner, virus, windows |
Hybrid-Darstellung
