Trojaner-Board
Seite 2 von 5 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Auch mit System Care Antivirus infiziert (https://www.trojaner-board.de/136116-system-care-antivirus-infiziert.html)

Polsterer 10.06.2013 12:19
neue Meldung

dieser PC verfügt nicht über die Microsoft-Wiederherstellungskonsole

Aufforderung um mit combofix die Wieder´herstellungskonsole herunterzulsden.

Ja Nein

markusg 10.06.2013 12:33
ja klicken.

Polsterer 10.06.2013 12:47
hi,
habe keine combofix.txt datei
auf c: ist zwar combofix zeigt die an diesem computer angschlossenen laufwerke und hardware an

gruß
markus

markusg 10.06.2013 14:28
lief das programm bis zum ende durch? dann müsste das Log automatisch geöffnet worden sein.
wenn nicht, noch mal laufen lassen.

Polsterer 10.06.2013 15:24
Hallo,
also das Programm lief bis irgendwas mit 50.
Dann wurde der Computer heruntergefahren mit folgender Meldung blauer Bildschirm

Problem festgestellt BAD_POOL_Header

Stop: 0x00000019

Speicherabbild des physischen Speichers wird erstellt.

Dann ist er neu gestartet ohne Datei
Gruß
Markus

markusg 10.06.2013 18:12
hi
starte mal neu, drücke f8 wähle abgesicherter Modus.
melde dich in deinem Konto an, führe Combofix erneut aus, wenn das Log dann erstellt wurde, bzw bei Problemen, wieder in den normalen Modus, Log bzw Problem posten.

Polsterer 10.06.2013 21:54
Hallo,
hat funktioniert hier die Log Datei:

Combofix Logfile:
Code:
ComboFix 13-06-08.02 - Markus 10.06.2013  22:25:54.4.1 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1279.995 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Markus.FLO\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100331-2] *Enabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\GetPack
c:\programme\GetPack\dictame.gz
c:\programme\GetPack\GetPack25.exe
c:\programme\GetPack\trgtame.gz
c:\programme\iCheck
c:\programme\iCheck\Uninstall.exe
c:\programme\winupdates
c:\programme\winupdates\a.zip
c:\windows\daemon.dll
c:\windows\IsUn0407.exe
c:\windows\iun6002.exe
c:\windows\setup.exe
c:\windows\system32\bszip.dll
c:\windows\system32\cmd.com
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\Hook.dll
c:\windows\system32\netstat.com
c:\windows\system32\nvs2.inf
c:\windows\system32\Optix_ScreenCapS.dll
c:\windows\system32\ping.com
c:\windows\system32\prunnet.exe
c:\windows\system32\PwS.dll
c:\windows\system32\regedit.com
c:\windows\system32\taskkill.com
c:\windows\system32\tasklist.com
c:\windows\system32\tracert.com
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-05-10 bis 2013-06-10  ))))))))))))))))))))))))))))))
.
.
2013-06-10 11:11 . 2013-06-10 11:11        --------        d--h--w-        c:\dokumente und einstellungen\Markus.FLO\Druckumgebung
2013-06-10 06:28 . 2013-06-10 10:58        0        --sh--w-        c:\windows\S6688AF0D.tmp
2013-06-10 06:19 . 2013-06-10 06:38        --------        d-----w-        C:\_OTL
2013-06-04 09:38 . 2013-06-04 09:38        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-04 09:38 . 2011-12-23 14:42        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\
OnlineControl.lnk - c:\programme\OnlineControl\ocontrol.exe [2007-9-1 126976]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^IVANHOE^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
backup=c:\windows\pss\Adobe Gamma.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CursorXP
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchosts_sn
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tuloxFreeWBE
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Twain
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37        932288        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-18 06:58        40368        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
2008-09-26 09:02        2356088        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2007-12-21 12:34        1649600        -c--a-w-        c:\programme\SlySoft\AnyDVD\AnyDVD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2012-05-08 09:49        102400        ----a-w-        c:\programme\Samsung\Samsung New PC Studio\NPSAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
2001-12-06 12:09        45056        -c--a-w-        c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22        15360        ----a-w-        c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
2004-08-22 15:05        81920        -c--a-w-        c:\programme\D-Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2002-09-05 17:14        69632        ----a-w-        c:\windows\Dit.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckAnyDVD]
2003-09-20 19:23        45056        -c--a-w-        c:\programme\SlySoft\AnyDVD\ElbyCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 15:24        54840        ----a-w-        c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
2007-08-22 15:31        80896        ----a-w-        c:\programme\HP\Digital Imaging\bin\HpqSRmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2006-04-25 10:49        535040        ----a-w-        c:\programme\Nero\Nero 7\InCD\InCD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2010-09-15 08:11        339312        ----a-w-        c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40        155648        ----a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-06-01 15:22        7618560        ----a-w-        c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-06-01 15:22        86016        ----a-w-        c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-06-01 15:22        1519616        ----a-w-        c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18        413696        ----a-w-        c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 17:42        32768        -c--a-w-        c:\programme\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Saitek Gaming mouse]
2005-05-12 19:41        249856        -c--a-w-        c:\programme\Gaming\GamingMouse\Panel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PSIMSVC"=2 (0x2)
"PREVSRV"=2 (0x2)
"PAVSRV"=2 (0x2)
"PavProt"=2 (0x2)
"Pavkre"=2 (0x2)
"PAVFNSVR"=2 (0x2)
"PAVFIRES"=2 (0x2)
"wuauserv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"TapiSrv"=3 (0x3)
"PavPrSrv"=2 (0x2)
"MZCCntrl"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"iPod Service"=3 (0x3)
"InCDsrv"=2 (0x2)
"gusvc"=3 (0x3)
"Bonjour Service"=2 (0x2)
"hpqcxs08"=3 (0x3)
"SCardSvr"=2 (0x2)
"lanmanserver"=2 (0x2)
"RSVP"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"Pml Driver HPZ12"=2 (0x2)
"LightScribeService"=2 (0x2)
"ImapiService"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\All Users.WINDOWS\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqfxt08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R3 SaiM27G Filter;SaiM27G Filter;c:\windows\system32\drivers\SaiM27G.sys [12.01.2006 16:25 24960]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [02.04.2008 18:26 114768]
S1 ShldDrv;Panda File Shield Driver; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [02.04.2008 18:26 20560]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [08.05.2012 10:33 233472]
S3 auusb;Auerswald ISDN USB Driver;c:\windows\system32\drivers\auusb.sys [20.07.2012 12:15 158640]
S3 cxbu0wdm;SmartBoard XX44;c:\windows\system32\drivers\cxbu0wdm.sys [25.01.2010 14:56 115712]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [08.05.2012 10:33 36608]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [01.09.2007 12:30 17280]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [11.01.2008 21:20 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [11.01.2008 21:23 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [11.01.2008 21:23 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [11.01.2008 21:24 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [11.01.2008 21:24 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [11.01.2008 21:24 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [11.01.2008 21:24 97704]
S3 SaiHA501;SaiHA501;c:\windows\system32\drivers\SaiHA501.sys [03.11.2005 11:52 176640]
S3 SaiLA501;SaiLA501;c:\windows\system32\drivers\SaiLA501.sys [03.11.2005 11:52 14976]
S3 SaiUA501;SaiUA501;c:\windows\system32\drivers\SaiUA501.sys [03.11.2005 11:52 27264]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [28.05.2006 02:30 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [28.05.2006 02:30 5248]
S4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [01.09.2007 12:30 61440]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.01.2006 19:20 664064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
HPService        REG_MULTI_SZ          HPSLPSVC
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Markus.FLO\Anwendungsdaten\Mozilla\Firefox\Profiles\zo9h5u7b.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-GetPack25 - c:\programme\GetPack\GetPack25.exe
MSConfigStartUp-Infium - c:\programme\QIP Infium\infium.exe
AddRemove-Controlling - c:\programme\BMWi\BMWi Updater\ExUpdate.exe
AddRemove-KostenLeistungsRechnung - c:\programme\BMWi\BMWi Updater\ExUpdate.exe
AddRemove-Speedpasch_1.0 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-06-10 22:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-06-10  22:45:32
ComboFix-quarantined-files.txt  2013-06-10 20:45
.
Vor Suchlauf: 18 Verzeichnis(se), 55.885.869.056 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 55.824.412.672 Bytes frei
.
- - End Of File - - E05F7516781B0438AC8150B9692F7DE3
--- --- ---
72B8CE41AF0DE751C946802B3ED844B4
[/TABLE]

ist das so mit dem Code richtig gewesen?

Gruß
Markus

markusg 10.06.2013 22:46
Hi,

malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Polsterer 11.06.2013 13:23
Hallo,
finde die Datei nicht mehr.
Computer sollte neu gestartet werden und dann ist sie weg.

Wo kann ich suchen?

markusg 11.06.2013 13:25
steht eigendlich ganz unten in der Anleitung
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

also malwarebytes öffnen, logdateien.

Polsterer 11.06.2013 13:32
da sind keine logdateien

markusg 11.06.2013 13:33
dann lass es noch mal laufen

Polsterer 11.06.2013 13:35
ok das dauert dann etwas erster versuch hat 5 Stunden benötigt und 8 oder 9 Fehler gefunden die dann wie beschrieben mit Häkchen versehen entfernt wurden

markusg 11.06.2013 13:37
ok dann guck in malwarebytes quarantäne sag mir bitte was drinn ist

Polsterer 11.06.2013 13:41
ist das der Ordner chameleon

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.06.11.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Markus :: VB [Administrator]

Schutz: Aktiviert

11.06.2013 09:01:10
mbam-log-2013-06-11 (09-01-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 564684
Laufzeit: 4 Stunde(n), 50 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\Dokumente und Einstellungen\IVANHOE\Anwendungsdaten\gadcom (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\IVANHOE\Anwendungsdaten\Twain (Trojan.Matcash) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 10
C:\Qoobox\Quarantine\C\Programme\winupdates\a.zip.vir (Worm.P2P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Qoobox\Quarantine\C\WINDOWS\system32\bszip.dll.vir (Worm.P2P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Qoobox\Quarantine\C\WINDOWS\system32\prunnet.exe.vir (Trojan.Downloader) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\IVANHOE\Anwendungsdaten\27792328.tmp (Spyware.Zbot.USBV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{015716B4-6BED-4B44-B14E-62EFAAF1A70E}\RP1338\A0262670.exe (Trojan.FavLock.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{015716B4-6BED-4B44-B14E-62EFAAF1A70E}\RP1339\A0265818.exe (Trojan.Downloader) -> Löschen bei Neustart.
C:\System Volume Information\_restore{015716B4-6BED-4B44-B14E-62EFAAF1A70E}\RP1339\A0265810.dll (Worm.P2P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{A02178B3-C383-4299-A05F-5FEB14D3699B}\RP94\A0059218.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Web\stSt_5.6_v2_FirstC_avb.exe (Spyware.Zbot.USBV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

2013/06/11 08:45:10 +0200 VB Markus MESSAGE Starting protection
2013/06/11 08:45:11 +0200 VB Markus MESSAGE Protection started successfully
2013/06/11 08:45:11 +0200 VB Markus MESSAGE Starting IP protection
2013/06/11 08:53:19 +0200 VB Markus MESSAGE IP Protection started successfully
2013/06/11 08:53:21 +0200 VB Markus MESSAGE Starting database refresh
2013/06/11 08:53:21 +0200 VB Markus MESSAGE Stopping IP protection
2013/06/11 08:53:23 +0200 VB Markus MESSAGE IP Protection stopped successfully
2013/06/11 08:53:50 +0200 VB Markus MESSAGE Database refreshed successfully
2013/06/11 08:53:50 +0200 VB Markus MESSAGE Starting IP protection
2013/06/11 08:54:39 +0200 VB Markus MESSAGE IP Protection started successfully
2013/06/11 08:54:46 +0200 VB Markus MESSAGE Executing scheduled update: Daily
2013/06/11 08:55:40 +0200 VB Markus MESSAGE Database already up-to-date
2013/06/11 13:58:35 +0200 VB Markus MESSAGE Starting protection
2013/06/11 13:58:35 +0200 VB Markus MESSAGE Protection started successfully
2013/06/11 13:58:36 +0200 VB Markus MESSAGE Starting IP protection
2013/06/11 13:59:31 +0200 VB Markus MESSAGE IP Protection started successfully


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:21 Uhr.
Seite 2 von 5 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19