Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bundespolizei-Schaedling! (https://www.trojaner-board.de/104745-bundespolizei-schaedling.html)

Walker_K 03.11.2011 16:12
Bundespolizei-Schaedling!
 
Hallo liebe Forumsgemeinde!
Ich bin neu hier und habe mich schon belesen.
Folgendes: Ich habe hier einen Rechner eines guten Bekannten,
bei dem der "Bundespolizei - Schädling" auf dem Rechner ist!
Mit dem Computer kann man folglich nicht mehr arbeiten, da der komplette
Desktop durch die fingierte Warnmeldung gesperrt ist!
Ich hoffe Ihr koennt mir helfen:heulen

Bereits unternommene Maßnahmen:

2 komplette Durchläufe mit Kaspersky Rescue Disk 10 (upgedatet) - ohne Erfolg
1 Scan mit OTL - Live-CD...
Hier die Logfile:

OTL logfile created on: 11/3/2011 7:00:19 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149.05 Gb Total Space | 118.00 Gb Free Space | 79.17% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003

========== Win32 Services (SafeList) ==========

SRV - [2011/06/17 09:30:26 | 000,072,464 | ---- | M] (SANDBOXIE L.T.D) [Auto] -- C:\Programme\Sandboxie\SbieSvc.exe -- (SbieSvc)
SRV - [2008/11/25 07:59:28 | 000,164,097 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\avmailc.exe -- (AntiVirMailService)
SRV - [2008/11/03 20:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008/10/24 09:30:12 | 000,068,865 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\sched.exe -- (AntiVirScheduler)
SRV - [2008/10/24 09:30:08 | 000,151,297 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\avguard.exe -- (AntiVirService)
SRV - [2008/08/29 04:00:30 | 000,033,752 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe -- (getPlus(R) Helper) getPlus(R)
SRV - [2008/06/12 08:59:46 | 000,258,305 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE -- (antivirwebservice)
SRV - [2008/05/09 07:22:40 | 000,041,217 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\avesvc.exe -- (AVEService)
SRV - [2007/08/23 11:40:48 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007/06/27 13:04:00 | 000,279,848 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007/06/25 02:47:12 | 001,552,680 | ---- | M] (Nero AG) [Auto] -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe -- (InCDsrv)
SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2011/06/17 09:30:20 | 000,128,272 | ---- | M] (SANDBOXIE L.T.D) [Kernel | On_Demand] -- C:\Programme\Sandboxie\SbieDrv.sys -- (SbieDrv)
DRV - [2011/01/14 09:06:40 | 000,277,352 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009/05/28 00:44:45 | 000,075,096 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/05/28 00:44:35 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand] -- C:\Programme\Avira\AntiVir Workstation\avgntflt.sys -- (avgntflt)
DRV - [2009/05/28 00:44:33 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Workstation\avgio.sys -- (avgio)
DRV - [2008/09/09 12:07:36 | 004,813,824 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/11/08 13:03:26 | 000,021,248 | ---- | M] (AVIRA GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2007/06/25 02:47:12 | 000,038,440 | ---- | M] (Nero AG) [Kernel | System] -- C:\WINDOWS\system32\drivers\InCDRm.sys -- (incdrm)
DRV - [2007/06/25 02:47:12 | 000,036,776 | ---- | M] (Nero AG) [Kernel | System] -- C:\WINDOWS\system32\drivers\InCDPass.sys -- (InCDPass)
DRV - [2007/06/25 02:47:12 | 000,016,040 | ---- | M] (Nero AG) [Recognizer | System] -- C:\WINDOWS\System32\drivers\InCDrec.sys -- (InCDrec)
DRV - [2007/06/25 02:47:02 | 000,119,080 | ---- | M] (Nero AG) [File_System | Disabled] -- C:\WINDOWS\system32\drivers\InCDfs.sys -- (InCDfs)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\USER_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\USER_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p="
FF - prefs.js..browser.search.param.yahoo-fr: "moz2-ytff-"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz2-ytff-"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..keyword.URL: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p="


FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/09/08 03:40:43 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/06/19 11:05:26 | 000,000,000 | ---D | M]

[2008/10/22 09:25:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\mozilla\Extensions
[2011/10/25 05:49:13 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\mozilla\Firefox\Profiles\rd7trppe.default\extensions
[2009/09/03 01:03:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\mozilla\Firefox\Profiles\rd7trppe.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/10/25 05:49:13 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\mozilla\Firefox\Profiles\rd7trppe.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011/06/19 10:59:53 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/06/18 01:22:50 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010/08/23 08:59:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010/11/09 13:02:07 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011/01/13 08:06:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
File not found (No name found) --
[2008/10/23 03:54:03 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011/09/08 03:40:42 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010/11/12 13:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011/06/19 11:05:21 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/06/19 11:05:21 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/06/19 11:05:21 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/06/19 11:05:21 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/06/19 11:05:21 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/06/19 11:05:21 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

Hosts file not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Workstation\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
O4 - HKU\.DEFAULT..\Run: [8DDYX0ZBPZ] File not found
O4 - HKU\USER_ON_C..\Run: [4E3E0230AEBB4E96] File not found
O4 - HKU\USER_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\USER_ON_C..\Run: [SandboxieControl] C:\Programme\Sandboxie\SbieCtrl.exe (SANDBOXIE L.T.D)
O4 - HKU\Administrator.NAME-B060D05CFD_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O4 - HKU\Administrator_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator.NAME-B060D05CFD_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\USER_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab (get_atlcom Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Foundstone Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/09/22 10:19:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: ntkrdt32 - (C:\WINDOWS\system32\logmsmui.dll) - File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011/11/02 23:13:12 | 009,852,544 | ---- | C] (Malwarebytes Corporation ) -- C:\mbam-setup-1.51.2.1300.exe
[2011/11/02 23:09:36 | 000,000,000 | ---D | C] -- C:\_OTL
[1996/11/17 18:00:00 | 000,018,944 | ---- | C] ( ) -- C:\WINDOWS\System32\IMPLODE.DLL

========== Files - Modified Within 30 Days ==========

[2011/11/03 12:20:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/11/03 12:20:00 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/11/03 12:18:39 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/11/03 12:18:24 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/11/03 12:18:23 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/11/02 23:13:15 | 009,852,544 | ---- | M] (Malwarebytes Corporation ) -- C:\mbam-setup-1.51.2.1300.exe
[2011/10/30 05:16:18 | 000,487,584 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/10/30 05:16:18 | 000,444,456 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/10/30 05:16:18 | 000,095,570 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/10/30 05:16:18 | 000,072,332 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/10/28 03:30:08 | 000,000,732 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2011/10/14 02:54:09 | 000,266,208 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/10/14 02:12:40 | 000,000,118 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI
[2011/10/14 02:10:54 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK

========== Files Created - No Company Name ==========

[2011/10/20 06:57:48 | 001,018,775 | ---- | C] () -- C:\Dokumente und Einstellungen\USER\Eigene Dateien\CIMG2008.JPG
[2011/10/14 02:12:40 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011/07/29 08:55:22 | 000,001,240 | ---- | C] () -- C:\WINDOWS\Sandboxie.ini
[2011/07/29 06:44:27 | 000,081,936 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2010/12/06 16:09:09 | 000,230,440 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010/04/21 03:42:41 | 000,000,016 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\kcmdte.dat
[2010/04/21 03:42:39 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\avdrn.dat
[2008/10/28 11:44:42 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008/10/28 11:44:39 | 000,032,256 | ---- | C] () -- C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/10/22 09:31:31 | 000,000,732 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/10/22 09:26:44 | 000,015,602 | ---- | C] () -- C:\WINDOWS\System32\SELF32.INI
[2008/10/22 09:26:43 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\cmll10sx.dll
[2008/10/22 09:26:38 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\LicenseDLL.dll
[2008/10/22 09:26:38 | 000,063,488 | ---- | C] () -- C:\WINDOWS\System32\EZTW32.DLL
[2008/10/22 09:26:38 | 000,061,952 | ---- | C] () -- C:\WINDOWS\System32\QFNDUW32.DLL
[2008/10/22 09:26:38 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\MouseHook.dll
[2008/10/22 09:26:38 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\QFW32HMB.dll
[2008/10/22 09:25:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008/09/22 11:43:01 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008/09/22 11:14:21 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/09/22 11:13:45 | 000,266,208 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/09/22 11:08:27 | 000,002,480 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2008/09/22 11:08:19 | 000,487,584 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/09/22 11:08:19 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/09/22 11:08:19 | 000,095,570 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/09/22 11:08:19 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/09/22 11:08:09 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/09/22 11:08:06 | 000,444,456 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/09/22 11:08:06 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/09/22 11:08:06 | 000,072,332 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/09/22 11:08:06 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/09/22 11:08:05 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/09/22 11:08:05 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/09/22 11:08:03 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2008/09/22 11:08:02 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/09/22 11:08:01 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/09/22 11:07:58 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/09/22 11:07:55 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/09/22 10:45:36 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4935.dll
[2008/09/22 10:29:34 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/09/22 10:26:46 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2008/09/22 10:20:51 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/09/22 10:17:55 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/05/26 16:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008/05/26 16:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008/05/26 16:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008/05/26 15:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008/05/26 15:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2001/11/28 04:08:40 | 000,029,378 | ---- | C] () -- C:\WINDOWS\System32\pkunzip.exe
[2000/04/25 07:58:08 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\Wrkgadm.exe
[1996/11/17 18:00:00 | 000,748,160 | ---- | C] () -- C:\WINDOWS\System32\CO2C40EN.DLL
[1996/11/17 18:00:00 | 000,124,256 | ---- | C] () -- C:\WINDOWS\System32\U2DMAPI.DLL
[1996/11/17 18:00:00 | 000,109,568 | ---- | C] () -- C:\WINDOWS\System32\U2FHTML.DLL
[1996/11/17 18:00:00 | 000,097,489 | ---- | C] () -- C:\WINDOWS\System32\U2FCR.DLL
[1996/11/17 18:00:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\U2FWKS.DLL
[1996/11/17 18:00:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\U2FTEXT.DLL
[1996/11/17 18:00:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\U2FSEPV.DLL
[1996/11/17 18:00:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\U2FREC.DLL
[1996/11/17 18:00:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\U2FDIF.DLL
[1996/11/17 18:00:00 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\CRXLAT32.DLL

========== LOP Check ==========

[2008/09/30 10:28:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.NAME-B060D05CFD\Anwendungsdaten\Windows Desktop Search
[2008/09/22 10:42:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2011/03/01 05:43:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\TeamViewer
[2008/09/30 10:28:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\Windows Desktop Search
[2008/10/28 11:43:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\Windows Search
[2009/07/14 10:41:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2011/11/03 12:18:24 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/11/03 12:20:00 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/11/03 12:18:23 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

========== Purity Check ==========


< End of report >

markusg 03.11.2011 16:24
hi.
hast du nen usb stick zur hand? da musst du mal das folgende tool drauf kopieren:
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

bitte starte den pc mal in den abgesicherten modus mit eingabeaufforderung, meist erreicht man den abgesicherten modus bei pc start wenn man ein paar mal f8 drückt.
dort wird dann eine box aufgehen in die du etwas eingeben kannst.
dort müssen wir raus finden, was dein usb stick ist.
gib folgendes ein:
d:\combofix.exe
enter
falls das nicht klappt
e:\combofix.exe
enter
usw.
bis es gefunden wurde.
lass das programm, falls nötig, den pc neu starten in den normalen modus, poste dann das log.

Walker_K 03.11.2011 16:57
So, ComboFix läuft, aber es hat festgestellt dass der Virenscanner/Antivirus
aktiv ist, (AviraAntiVir) diesen konnte ich nicht abstellen, wie auch im abgesicherten Modus mit Eingabeaufforderung???

Mfg Walker_K

markusg 03.11.2011 16:59
egal, überspring das einfach.

Walker_K 03.11.2011 17:38
Alles klar! Der PC läuft wieder, jedoch bin ich mir nicht sicher ob noch etwas
von dem Schädlich auf dem Rechner verblieben ist.

Laut ComboFix war die explorer.exe infiziert, jedoch wurde die explorer.exe
vom Schädling befreit bzw. neu aufgespielt.


Zunächst einmal hier die die LOG vom ComboFix im Anhang!!
Wie soll ich nun weiter verfahren um sicher zu gehen??
Neuinstallation ist absolut nicht zu machen, da sehr wichtige
Programme installiert wurden und der PC auch geschäftlich
benutzt wird und Spezialprogramme auch vorhanden sind,
diese neu zu installieren und vor allem neu einzurichten würde Wochen
dauern!!


MfG Walker_K

markusg 03.11.2011 17:42
wenn man doch so wichtige programme auf dem pc hatt, und man nutzt den pc geschäftlich, warum hat man dann kein backup?
was machst du zb wenn dir mal die festplatte kaputt geht?
öffne arbeitsplatz c: rechtsklick qoobox, dann mit winrar oder zip oder nem andern pack programm packen und nach link hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
machst du vom dem pc onlinebanking einkäufe oder werden zb sensible kundendaten verwaltet oder andere sensible daten?

Walker_K 03.11.2011 17:57
Hallo!
Es ist nicht mein Computer, der Anwender dem das System gehört
hat mir verboten den Rechner zu formatieren bzw. Neuinstallation.


Zum hochladen von Qoobox:

WinRAR kann nicht auf BackEnv zugreifen... Ist das normal???
Das rchiv ist dann ja unvollständig?!
AntiVir ist deaktiviert.

markusg 03.11.2011 18:01
ne ist ok.
ich kann dir nur sagen, es ist, sorry für die harten worte, unverantwortlich dieses system weiter laufen zu lassen.
da ist nen trojan zbot aktiv, und nen spyeye trojaner + dem bka trojaner.
zbot und spyeye stehelen daten, und das system wird nie wieder vertrauenswürdig sein.
muss mir außerdem noch ne datei ansehen, wo ich noch nicht weis ob und was für nen trojaner das ist.
ich denke nur, besonders geschäftlich genutzte pcs, besonders wenn sie mit kundendaten in berührung kommen oder mit anderen sensiblen daten, müssen sauber sein. bei kundendaten besonders, denn man hat ja noch ne verantwortung diesen gegen über.

markusg 03.11.2011 18:06
und jetzt muss ich noch mal nachfragn
"der anwender dem das system gehört" bist du aus der it abteilung oder warum hast du nen firmen pc zum bereinigen?

Walker_K 03.11.2011 18:13
Das System enthält keine Kundendaten oder Rechnungsprogramme
Lediglich für die Mitarbeiter zum arbeiten mit speziellen Programmen
für Messinstrumente.

E-Mails werden noch mit MS Outlook abgerufen! Ich weis
nicht was der/die Mitarbeiter sonst noch mit machen.

Was für "krasse" Trojaner sind da den aktiv? Bundestrojaner Spyeye und Trojan zbot???? Sind die im Moment alle immer noch aktiv????:teufel1: Außer dass ich mich jetzt hier in dieses Forum eingeloggt habe wurden sonst keine Passwörter eingegeben!

MfG Walker_K

markusg 03.11.2011 18:16
hi, ich benötige mal den upload bitte in den upload channel, wie gesagt muss ich mir da noch was ansehen.
naja, diese trojaner können theoretisch malware nachladen die wir dann evtl. nicht finden, außerdem kann eine neu infektion erleichtert werden.
ich sehe außerdem reste alter infektionen, der pc hat also schon was hinter sich.
mit diesen trojanern können dann zb auch straftaten begangen werden. dDos angriffe zb spam versand usw.

Walker_K 03.11.2011 19:06
Hallo markusg!

Ich war gerade verhindert, jetzt bin ich wieder online!
Ich habe die Qoobox.rar hochgeladen!

Außerdem habe ich noch mit Malwarebytes-Anti-Malware den PC gescannt!
Das Programm hat 3 Trojaner gefunden (inklusive der Qoobox explorer.exe die habe ich nicht entfernt wegen dem Upload)

MfG Walker_K

markusg 03.11.2011 19:09
ja und das log, wie soll ichs auswerten wenn ich es nicht sehe? danke für den upload

Walker_K 03.11.2011 19:16
Hier noch das LOG im Anhang!!

markusg 03.11.2011 19:43
nutze den tdss killer
http://www.trojaner-board.de/82358-t...entfernen.html
log posten


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:16 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131