Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe! (https://www.trojaner-board.de/57315-verdacht-rootkits-malware-bitte-dringend-um-hilfe.html)

MALICODE? 11.08.2008 10:58
Zitat:
Zitat von root24 (Beitrag 360236)
Ich vermute da wird bei Dir immer noch was aktiv sein,
Hallo,
da ich den Verdacht habe, dass auf mein Rechner immer noch Schädlinge aktiv sind, habe ComboFix nach der Anleitung laufen lassen.
Davor habe den Rechner mit CCleaner, Ad-Aware2008, Spybot und Avira AntiVir Premium bereinigt.

Hier die Scans und Logfiles:

ComboFix:
Code:
ComboFix 08-08-09.04 - '*****' 2008-08-10 16:30:49.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.193 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\'*****'\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\'*****'\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
(((((((((((((((((((((((  Dateien erstellt von 2008-07-10 bis 2008-08-10  ))))))))))))))))))))))))))))))
.

2008-08-09 20:32 . 2008-08-09 20:32        <DIR>        d--------        C:\Programme\CCleaner
2008-08-07 20:15 . 2008-08-07 20:15        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy
2008-08-07 16:18 . 2008-08-07 16:18        <DIR>        d--------        C:\Programme\Lavasoft
2008-08-07 16:15 . 2008-08-07 16:15        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-06 18:12 . 2008-08-06 18:12        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-08-06 18:09 . 2008-08-06 18:09        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\ElsterFormular
2008-08-06 15:22 . 2008-08-05 08:55        66,048        --a------        C:\mbr.exe
2008-08-02 17:15 . 2008-08-02 17:16        <DIR>        d--------        C:\Programme\pdf24
2008-08-02 15:40 . 2008-08-10 12:04        250        --a------        C:\WINDOWS\gmer.ini
2008-08-02 14:58 . 2008-08-04 17:17        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\LightScribe
2008-08-02 14:44 . 2008-08-04 17:17        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Ahead
2008-08-02 14:40 . 2008-08-02 14:40        <DIR>        d--------        C:\Programme\Nero
2008-08-02 14:40 . 2008-08-02 14:45        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Ahead
2008-08-02 14:40 . 2008-08-02 14:40        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-08-02 10:49 . 2008-08-06 09:32        <DIR>        d--------        C:\Programme\Mozilla Sunbird
2008-08-02 10:49 . 2008-08-02 10:49        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Talkback
2008-08-02 09:50 . 2008-08-02 09:51        <DIR>        d--------        C:\Programme\Conference
2008-08-02 09:21 . 2008-08-02 09:21        <DIR>        d--------        C:\Programme\ElsterFormular
2008-08-02 09:13 . 2008-08-02 09:13        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Avira
2008-08-02 08:31 . 2008-08-02 08:31        <DIR>        d--------        C:\Internetdienstleistungen
2008-08-02 08:29 . 2008-08-02 08:30        <DIR>        d--------        C:\Online Marketing & Vertrieb
2008-08-01 22:04 . 2008-08-01 22:48        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-01 21:54 . 2008-08-09 18:08        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\StarOffice8
2008-08-01 21:53 . 2008-08-01 21:53        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\skypePM
2008-08-01 21:53 . 2008-08-01 21:53        32        --a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-01 21:50 . 2008-08-01 22:50        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Skype
2008-08-01 21:35 . 2008-08-10 16:23        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-01 21:15 . 2008-08-01 21:15        <DIR>        d--------        C:\Programme\Sun
2008-08-01 21:15 . 2007-12-14 01:59        69,632        --a------        C:\WINDOWS\system32\javacpl.cpl
2008-08-01 21:10 . 2008-08-01 21:10        <DIR>        d--------        C:\Programme\Skype
2008-08-01 21:10 . 2008-08-01 21:10        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Skype
2008-08-01 21:10 . 2008-08-01 21:10        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-01 21:09 . 2008-08-01 21:09        <DIR>        d--------        C:\Programme\Real
2008-08-01 21:09 . 2008-08-01 21:09        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\xing shared
2008-08-01 21:09 . 2008-08-01 21:09        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Real
2008-08-01 21:07 . 2008-08-02 15:34        <DIR>        d--------        C:\Programme\Google
2008-08-01 21:07 . 2008-08-10 15:04        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-01 21:04 . 2008-08-01 21:04        0        --a------        C:\WINDOWS\nsreg.dat
2008-08-01 19:55 . 2008-04-23 06:16        6,066,176        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll
2008-08-01 19:55 . 2007-04-17 11:32        2,455,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-08-01 19:55 . 2007-03-08 07:09        1,040,384        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-08-01 19:55 . 2008-04-23 06:16        459,264        -----c---        C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-01 19:55 . 2008-04-23 06:16        383,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-01 19:55 . 2008-04-23 06:16        267,776        -----c---        C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-01 19:55 . 2008-04-23 06:16        63,488        -----c---        C:\WINDOWS\system32\dllcache\icardie.dll
2008-08-01 19:55 . 2008-04-23 06:16        52,224        -----c---        C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-01 19:55 . 2008-04-22 09:39        13,824        -----c---        C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-01 19:47 . 2008-08-01 19:47        <DIR>        d--------        C:\Programme\MSXML 4.0
2008-08-01 19:35 . 2008-08-01 19:35        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-08-01 19:35 . 2008-08-02 10:34        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\HP
2008-08-01 19:33 . 2008-08-01 19:33        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Sonic Shared
2008-08-01 19:33 . 2008-08-01 19:33        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2008-08-01 19:33 . 2008-08-01 19:33        <DIR>        d--------        C:\bin
2008-08-01 19:31 . 2008-08-01 19:32        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\HP
2008-08-01 19:29 . 2008-08-01 19:30        <DIR>        d--------        C:\Programme\Hewlett-Packard
2008-08-01 19:29 . 2008-08-01 19:29        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-08-01 19:28 . 1998-10-29 16:45        306,688        --a------        C:\WINDOWS\IsUninst.exe
2008-08-01 19:28 . 2006-03-03 21:03        282,680        --a------        C:\WINDOWS\system32\HPZidr12.dll
2008-08-01 19:28 . 2006-03-03 21:02        204,800        --a------        C:\WINDOWS\system32\HPZipr12.dll
2008-08-01 19:28 . 2006-03-03 21:02        94,208        --a------        C:\WINDOWS\system32\HPZipt12.dll
2008-08-01 19:28 . 2006-03-03 21:03        69,632        --a------        C:\WINDOWS\system32\HPZipm12.exe
2008-08-01 19:28 . 2006-03-03 21:03        65,536        --a------        C:\WINDOWS\system32\HPZinw12.exe
2008-08-01 19:28 . 2006-03-03 21:02        57,344        --a------        C:\WINDOWS\system32\HPZisn12.dll
2008-08-01 19:27 . 2008-08-01 19:35        <DIR>        d--------        C:\Programme\HP
2008-08-01 19:25 . 2006-04-13 03:04        282,624        -ra------        C:\WINDOWS\system32\HPZc3212.dll
2008-08-01 19:25 . 2008-08-01 19:36        127,854        --a------        C:\WINDOWS\hpoins11.dat
2008-08-01 19:25 . 2006-01-04 11:12        77,824        -ra------        C:\WINDOWS\system32\HPZIDS01.dll
2008-08-01 19:25 . 2006-04-13 03:04        49,664        -ra------        C:\WINDOWS\system32\drivers\HPZid412.sys
2008-08-01 19:25 . 2006-04-10 14:03        38,400        --a------        C:\WINDOWS\system32\hpz3l054.dll
2008-08-01 19:25 . 2006-04-13 03:04        21,568        -ra------        C:\WINDOWS\system32\drivers\HPZius12.sys
2008-08-01 19:25 . 2006-04-13 03:04        16,496        -ra------        C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-08-01 19:24 . 2006-04-13 03:02        827,392        -ra------        C:\WINDOWS\system32\hpotiop2.dll
2008-08-01 19:24 . 2006-04-13 03:02        659,456        -ra------        C:\WINDOWS\system32\hpowiax2.dll
2008-08-01 19:24 . 2006-04-13 03:02        254,026        -ra------        C:\WINDOWS\system32\hpovst09.dll
2008-08-01 19:24 . 2008-04-13 20:45        15,104        --a------        C:\WINDOWS\system32\drivers\usbscan.sys
2008-08-01 19:24 . 2008-04-13 20:45        15,104        --a--c---        C:\WINDOWS\system32\dllcache\usbscan.sys
2008-08-01 19:16 . 2008-08-01 19:56        <DIR>        d--------        C:\WINDOWS\system32\de-de
2008-08-01 19:16 . 2008-08-01 19:16        <DIR>        d--------        C:\WINDOWS\system32\de
2008-08-01 19:16 . 2008-08-01 19:16        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-08-01 19:16 . 2008-08-01 19:16        <DIR>        d--------        C:\WINDOWS\l2schemas
2008-08-01 19:13 . 2008-08-01 19:16        <DIR>        d--------        C:\WINDOWS\ServicePackFiles
2008-08-01 19:08 . 2008-08-01 19:08        <DIR>        d--------        C:\WINDOWS\EHome
2008-08-01 19:01 . 2004-08-04 00:38        327,168        ---------        C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-08-01 18:51 . 2008-05-08 16:02        203,136        -----c---        C:\WINDOWS\system32\dllcache\rmcast.sys
2008-08-01 18:50 . 2006-12-07 08:40        2,362,184        -----c---        C:\WINDOWS\system32\dllcache\wmvcore.dll
2008-08-01 18:41 . 2008-06-14 19:32        273,024        ---------        C:\WINDOWS\system32\drivers\bthport.sys
2008-08-01 18:41 . 2008-06-14 19:32        273,024        -----c---        C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-01 18:39 . 2007-08-10 20:44        26,488        --a------        C:\WINDOWS\system32\spupdsvc.exe
2008-08-01 18:34 . 2008-08-01 18:34        <DIR>        d--hs----        C:\Dokumente und Einstellungen\'*****'\UserData
2008-08-01 18:17 . 2008-08-01 18:17        <DIR>        d--------        C:\Programme\Avira
2008-08-01 18:17 . 2008-08-01 18:17        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-01 17:54 . 2008-04-13 20:45        32,128        --a------        C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-01 17:54 . 2008-04-13 20:47        25,856        --a------        C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-01 17:47 . 2008-08-01 17:47        <DIR>        d--------        C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-01 17:47 . 2008-08-01 17:47        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Netzwerkumgebung
2008-08-01 17:46 . 2005-09-08 11:42        <DIR>        dr-------        C:\WINDOWS\system32\config\systemprofile\Eigene Dateien
2008-08-01 17:46 . 2008-08-01 17:46        <DIR>        d--------        C:\Programme\Atheros
2008-08-01 17:46 . 2005-08-04 15:30        <DIR>        d--h-----        C:\Dokumente und Einstellungen\'*****'\Vorlagen
2008-08-01 17:46 . 2005-08-04 16:25        <DIR>        dr-------        C:\Dokumente und Einstellungen\'*****'\Startmenü
2008-08-01 17:46 . 2005-08-04 16:25        <DIR>        d--h-----        C:\Dokumente und Einstellungen\'*****'\Lokale Einstellungen
2008-08-01 17:46 . 2008-08-01 19:52        <DIR>        dr-------        C:\Dokumente und Einstellungen\'*****'\Favoriten
2008-08-01 17:46 . 2008-08-09 18:03        <DIR>        dr-------        C:\Dokumente und Einstellungen\'*****'\Eigene Dateien
2008-08-01 17:46 . 2005-08-04 16:25        <DIR>        d--h-----        C:\Dokumente und Einstellungen\'*****'\Druckumgebung
2008-08-01 17:46 . 2005-08-05 07:18        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\toshiba
2008-08-01 17:46 . 2005-08-05 07:36        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Sonic
2008-08-01 17:46 . 2008-08-09 19:52        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten
2008-08-01 17:45 . 2005-09-08 11:42        <DIR>        dr-------        C:\Dokumente und Einstellungen\Default User\Eigene Dateien
2008-08-01 17:29 . 2001-08-18 04:22        12,288        --a------        C:\WINDOWS\system32\drivers\mouhid.sys
2008-08-01 17:29 . 2008-04-13 20:45        10,368        --a------        C:\WINDOWS\system32\drivers\hidusb.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-03 16:31        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
Gmer:
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-10 12:23:40
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            F7BFD6FC                                ZwCreateThread
SSDT            F7BFD6E8                                ZwOpenProcess
SSDT            F7BFD6ED                                ZwOpenThread
SSDT            F7BFD6F7                                ZwTerminateProcess
SSDT            F7BFD6F2                                ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \FileSystem\Cdfs \Cdfs                  tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- Disk sectors - GMER 1.0.14 ----

Disk            \Device\Harddisk0\DR0                    sector 61: malicious code @ sector 0x4a85062 size 0x1c6

---- EOF - GMER 1.0.14 ----
mbr.exe:
Code:
C:\mbr.exe
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a85062 size 0x1c6 !
Über Auswertung und Hilfe würde ich mich freuen.

Gruß
MALICODE?

cosinus 11.08.2008 11:30
Hallo

Das Combofix Log ist unvollständig. Die anderen Logs sind soweit okay, bis auf den bösartigen Sektor, der zwischen den Partitionen liegt, wie Karl schon schrieb. :rolleyes:

MALICODE? 11.08.2008 11:54
Hallo,

wie kann ich ein vollständiger ComboFix Log produzieren?
Was fehlt genau?

Danke!

cosinus 11.08.2008 12:09
Zitat:
Zitat von MALICODE? (Beitrag 361504)
Hallo,

wie kann ich ein vollständiger ComboFix Log produzieren?
Was fehlt genau?

Danke!
Überprüf doch einfach mal das was Du gepostet hast mit dem Original-Logfile :rolleyes:
Lad die Combofix-Logdatei notfalls bei file-upload.net hoch und verlink es hier wenn die zu groß sein sollte.

MALICODE? 11.08.2008 13:04
Sorry, ich bin ein Trottel. :(

Combofix Logfile:

Code:
ComboFix 08-08-09.04 - '*****' 2008-08-10 16:30:49.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.193 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\'*****'\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\'*****'\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
(((((((((((((((((((((((  Dateien erstellt von 2008-07-10 bis 2008-08-10  ))))))))))))))))))))))))))))))
.

2008-08-09 20:32 . 2008-08-09 20:32        <DIR>        d--------        C:\Programme\CCleaner
2008-08-07 20:15 . 2008-08-07 20:15        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy
2008-08-07 16:18 . 2008-08-07 16:18        <DIR>        d--------        C:\Programme\Lavasoft
2008-08-07 16:15 . 2008-08-07 16:15        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-06 18:12 . 2008-08-06 18:12        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-08-06 18:09 . 2008-08-06 18:09        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\ElsterFormular
2008-08-06 15:22 . 2008-08-05 08:55        66,048        --a------        C:\mbr.exe
2008-08-02 17:15 . 2008-08-02 17:16        <DIR>        d--------        C:\Programme\pdf24
2008-08-02 15:40 . 2008-08-10 12:04        250        --a------        C:\WINDOWS\gmer.ini
2008-08-02 14:58 . 2008-08-04 17:17        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\LightScribe
2008-08-02 14:44 . 2008-08-04 17:17        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Ahead
2008-08-02 14:40 . 2008-08-02 14:40        <DIR>        d--------        C:\Programme\Nero
2008-08-02 14:40 . 2008-08-02 14:45        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Ahead
2008-08-02 14:40 . 2008-08-02 14:40        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-08-02 10:49 . 2008-08-06 09:32        <DIR>        d--------        C:\Programme\Mozilla Sunbird
2008-08-02 10:49 . 2008-08-02 10:49        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Talkback
2008-08-02 09:50 . 2008-08-02 09:51        <DIR>        d--------        C:\Programme\Conference
2008-08-02 09:21 . 2008-08-02 09:21        <DIR>        d--------        C:\Programme\ElsterFormular
2008-08-02 09:13 . 2008-08-02 09:13        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Avira
2008-08-02 08:31 . 2008-08-02 08:31        <DIR>        d--------        C:\Internetdienstleistungen
2008-08-02 08:29 . 2008-08-02 08:30        <DIR>        d--------        C:\Online Marketing & Vertrieb
2008-08-01 22:04 . 2008-08-01 22:48        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-01 21:54 . 2008-08-09 18:08        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\StarOffice8
2008-08-01 21:53 . 2008-08-01 21:53        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\skypePM
2008-08-01 21:53 . 2008-08-01 21:53        32        --a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-01 21:50 . 2008-08-01 22:50        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Skype
2008-08-01 21:35 . 2008-08-10 16:23        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-01 21:15 . 2008-08-01 21:15        <DIR>        d--------        C:\Programme\Sun
2008-08-01 21:15 . 2007-12-14 01:59        69,632        --a------        C:\WINDOWS\system32\javacpl.cpl
2008-08-01 21:10 . 2008-08-01 21:10        <DIR>        d--------        C:\Programme\Skype
2008-08-01 21:10 . 2008-08-01 21:10        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Skype
2008-08-01 21:10 . 2008-08-01 21:10        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-01 21:09 . 2008-08-01 21:09        <DIR>        d--------        C:\Programme\Real
2008-08-01 21:09 . 2008-08-01 21:09        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\xing shared
2008-08-01 21:09 . 2008-08-01 21:09        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Real
2008-08-01 21:07 . 2008-08-02 15:34        <DIR>        d--------        C:\Programme\Google
2008-08-01 21:07 . 2008-08-10 15:04        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-01 21:04 . 2008-08-01 21:04        0        --a------        C:\WINDOWS\nsreg.dat
2008-08-01 19:55 . 2008-04-23 06:16        6,066,176        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll
2008-08-01 19:55 . 2007-04-17 11:32        2,455,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-08-01 19:55 . 2007-03-08 07:09        1,040,384        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-08-01 19:55 . 2008-04-23 06:16        459,264        -----c---        C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-01 19:55 . 2008-04-23 06:16        383,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-01 19:55 . 2008-04-23 06:16        267,776        -----c---        C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-01 19:55 . 2008-04-23 06:16        63,488        -----c---        C:\WINDOWS\system32\dllcache\icardie.dll
2008-08-01 19:55 . 2008-04-23 06:16        52,224        -----c---        C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-01 19:55 . 2008-04-22 09:39        13,824        -----c---        C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-01 19:47 . 2008-08-01 19:47        <DIR>        d--------        C:\Programme\MSXML 4.0
2008-08-01 19:35 . 2008-08-01 19:35        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-08-01 19:35 . 2008-08-02 10:34        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\HP
2008-08-01 19:33 . 2008-08-01 19:33        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Sonic Shared
2008-08-01 19:33 . 2008-08-01 19:33        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2008-08-01 19:33 . 2008-08-01 19:33        <DIR>        d--------        C:\bin
2008-08-01 19:31 . 2008-08-01 19:32        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\HP
2008-08-01 19:29 . 2008-08-01 19:30        <DIR>        d--------        C:\Programme\Hewlett-Packard
2008-08-01 19:29 . 2008-08-01 19:29        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-08-01 19:28 . 1998-10-29 16:45        306,688        --a------        C:\WINDOWS\IsUninst.exe
2008-08-01 19:28 . 2006-03-03 21:03        282,680        --a------        C:\WINDOWS\system32\HPZidr12.dll
2008-08-01 19:28 . 2006-03-03 21:02        204,800        --a------        C:\WINDOWS\system32\HPZipr12.dll
2008-08-01 19:28 . 2006-03-03 21:02        94,208        --a------        C:\WINDOWS\system32\HPZipt12.dll
2008-08-01 19:28 . 2006-03-03 21:03        69,632        --a------        C:\WINDOWS\system32\HPZipm12.exe
2008-08-01 19:28 . 2006-03-03 21:03        65,536        --a------        C:\WINDOWS\system32\HPZinw12.exe
2008-08-01 19:28 . 2006-03-03 21:02        57,344        --a------        C:\WINDOWS\system32\HPZisn12.dll
2008-08-01 19:27 . 2008-08-01 19:35        <DIR>        d--------        C:\Programme\HP
2008-08-01 19:25 . 2006-04-13 03:04        282,624        -ra------        C:\WINDOWS\system32\HPZc3212.dll
2008-08-01 19:25 . 2008-08-01 19:36        127,854        --a------        C:\WINDOWS\hpoins11.dat
2008-08-01 19:25 . 2006-01-04 11:12        77,824        -ra------        C:\WINDOWS\system32\HPZIDS01.dll
2008-08-01 19:25 . 2006-04-13 03:04        49,664        -ra------        C:\WINDOWS\system32\drivers\HPZid412.sys
2008-08-01 19:25 . 2006-04-10 14:03        38,400        --a------        C:\WINDOWS\system32\hpz3l054.dll
2008-08-01 19:25 . 2006-04-13 03:04        21,568        -ra------        C:\WINDOWS\system32\drivers\HPZius12.sys
2008-08-01 19:25 . 2006-04-13 03:04        16,496        -ra------        C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-08-01 19:24 . 2006-04-13 03:02        827,392        -ra------        C:\WINDOWS\system32\hpotiop2.dll
2008-08-01 19:24 . 2006-04-13 03:02        659,456        -ra------        C:\WINDOWS\system32\hpowiax2.dll
2008-08-01 19:24 . 2006-04-13 03:02        254,026        -ra------        C:\WINDOWS\system32\hpovst09.dll
2008-08-01 19:24 . 2008-04-13 20:45        15,104        --a------        C:\WINDOWS\system32\drivers\usbscan.sys
2008-08-01 19:24 . 2008-04-13 20:45        15,104        --a--c---        C:\WINDOWS\system32\dllcache\usbscan.sys
2008-08-01 19:16 . 2008-08-01 19:56        <DIR>        d--------        C:\WINDOWS\system32\de-de
2008-08-01 19:16 . 2008-08-01 19:16        <DIR>        d--------        C:\WINDOWS\system32\de
2008-08-01 19:16 . 2008-08-01 19:16        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-08-01 19:16 . 2008-08-01 19:16        <DIR>        d--------        C:\WINDOWS\l2schemas
2008-08-01 19:13 . 2008-08-01 19:16        <DIR>        d--------        C:\WINDOWS\ServicePackFiles
2008-08-01 19:08 . 2008-08-01 19:08        <DIR>        d--------        C:\WINDOWS\EHome
2008-08-01 19:01 . 2004-08-04 00:38        327,168        ---------        C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-08-01 18:51 . 2008-05-08 16:02        203,136        -----c---        C:\WINDOWS\system32\dllcache\rmcast.sys
2008-08-01 18:50 . 2006-12-07 08:40        2,362,184        -----c---        C:\WINDOWS\system32\dllcache\wmvcore.dll
2008-08-01 18:41 . 2008-06-14 19:32        273,024        ---------        C:\WINDOWS\system32\drivers\bthport.sys
2008-08-01 18:41 . 2008-06-14 19:32        273,024        -----c---        C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-01 18:39 . 2007-08-10 20:44        26,488        --a------        C:\WINDOWS\system32\spupdsvc.exe
2008-08-01 18:34 . 2008-08-01 18:34        <DIR>        d--hs----        C:\Dokumente und Einstellungen\'*****'\UserData
2008-08-01 18:17 . 2008-08-01 18:17        <DIR>        d--------        C:\Programme\Avira
2008-08-01 18:17 . 2008-08-01 18:17        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-01 17:54 . 2008-04-13 20:45        32,128        --a------        C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-01 17:54 . 2008-04-13 20:47        25,856        --a------        C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-01 17:47 . 2008-08-01 17:47        <DIR>        d--------        C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-01 17:47 . 2008-08-01 17:47        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Netzwerkumgebung
2008-08-01 17:46 . 2005-09-08 11:42        <DIR>        dr-------        C:\WINDOWS\system32\config\systemprofile\Eigene Dateien
2008-08-01 17:46 . 2008-08-01 17:46        <DIR>        d--------        C:\Programme\Atheros
2008-08-01 17:46 . 2005-08-04 15:30        <DIR>        d--h-----        C:\Dokumente und Einstellungen\'*****'\Vorlagen
2008-08-01 17:46 . 2005-08-04 16:25        <DIR>        dr-------        C:\Dokumente und Einstellungen\'*****'\Startmenü
2008-08-01 17:46 . 2005-08-04 16:25        <DIR>        d--h-----        C:\Dokumente und Einstellungen\'*****'\Lokale Einstellungen
2008-08-01 17:46 . 2008-08-01 19:52        <DIR>        dr-------        C:\Dokumente und Einstellungen\'*****'\Favoriten
2008-08-01 17:46 . 2008-08-09 18:03        <DIR>        dr-------        C:\Dokumente und Einstellungen\'*****'\Eigene Dateien
2008-08-01 17:46 . 2005-08-04 16:25        <DIR>        d--h-----        C:\Dokumente und Einstellungen\'*****'\Druckumgebung
2008-08-01 17:46 . 2005-08-05 07:18        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\toshiba
2008-08-01 17:46 . 2005-08-05 07:36        <DIR>        d--------        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Sonic
2008-08-01 17:46 . 2008-08-09 19:52        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten
2008-08-01 17:45 . 2005-09-08 11:42        <DIR>        dr-------        C:\Dokumente und Einstellungen\Default User\Eigene Dateien
2008-08-01 17:29 . 2001-08-18 04:22        12,288        --a------        C:\WINDOWS\system32\drivers\mouhid.sys
2008-08-01 17:29 . 2008-04-13 20:45        10,368        --a------        C:\WINDOWS\system32\drivers\hidusb.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-03 16:31        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-08-02 13:07        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-08-01 19:15        ---------        d-----w        C:\Programme\Java
2008-08-01 16:44        ---------        d-----w        C:\Programme\Symantec
2008-08-01 16:12        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-01 16:02        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-08-01 15:46        17,801        ----a-w        C:\WINDOWS\system32\drivers\AegisP.sys
2008-08-01 15:46        0        --sha-r        C:\WINDOWS\system32\drivers\TOSHIBA_Satellite L20_03412000-GR_PSL2XE-01300.MRK
2008-06-20 17:46        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51        361,600        ----a-w        C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40        138,496        ----a-w        C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08        225,856        ----a-w        C:\WINDOWS\system32\drivers\tcpip6.sys
2008-05-16 09:58        12,632        ----a-w        C:\WINDOWS\system32\lsdelete.exe
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 10:05 65536]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 23:44 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 23:43 688218]
"Toshiba Hotkey Utility"="C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" [2005-08-27 03:14 1093632]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 11:01 118784]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 10:56 1077327]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-05-31 05:33 122941]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-08-01 18:21 266497]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-01 21:09 185632]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"PDFPrint"="C:\Programme\pdf24\PDFBackend.exe" [2008-01-31 08:17 134144]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22 288472]
HP Photosmart Premier - Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 07:56:20 73728]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Conference\\Conference.dll"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=

R2 AntiVirMailService;Avira AntiVir Premium MailGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-08-01 18:21]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-08-01 18:21]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-08-01 18:21]
R3 BoiHwsetup;Access 32bits INT15 routine;C:\WINDOWS\system32\drivers\BoiHwSetup.sys [2005-06-11 06:42]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2005-04-01 02:08]
R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys [2005-05-09 15:17]
R3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys [2005-05-05 14:27]

*Newly Created Service* - CATCHME
*Newly Created Service* - HTTPFILTER
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-01 C:\WINDOWS\Tasks\Registrierungserinnerung 2.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2008-04-14 04:22]

2008-08-01 C:\WINDOWS\Tasks\Registrierungserinnerung 3.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2008-04-14 04:22]

2008-08-08 C:\WINDOWS\Tasks\WebReg Photosmart C4100 series.job
- C:\Programme\HP\Digital Imaging\bin\hpqwrg.exe [2006-02-19 05:09]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\'*****'\Anwendungsdaten\Mozilla\Firefox\Profiles\t1z755vs.default\
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1273.1045\npCIDetect12.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 16:32:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-10 16:33:20
ComboFix-quarantined-files.txt  2008-08-10 14:33:17

Pre-Run: 12 Verzeichnis(se), 29,350,838,272 Bytes frei
Post-Run: 16 Verzeichnis(se), 29,338,652,672 Bytes frei

226        --- E O F ---        2008-08-01 16:43:44
Danke!

cosinus 11.08.2008 22:11
Ich sehe im CF-Log nix Auffälliges. Ich schätze Dein PC ist bis auf diesem ominösen Sektor (durch GMER gefunden) soweit clean, dem Neuaufsetzen sei Dank.

MALICODE? 12.08.2008 09:04
Vielen Dank für die Hilfe! :Boogie:

undoreal 07.09.2008 15:43
Halli hallo.

Der Optik wegen und weil ich absolut "rein" PC mag :) würde ich den MBR über die Wiederherstellungskonsole mit fixboot neuschreiben lassen. Das müsste imho klappen.?.

Das verhindert auch, dass evtl. einige Scanner den schädlichen Code nochmal anmeckern und den User verwirren obwohl keine Gefahr von dem Code, im falschen Sektor ausgeht.

PS:

Wo wir grade dabei sind: Hat jemand eine plausible Erklärung warum der Sinowal den "falschen" Sektor erwischt hat. Bzw. den MBR und einen anderen Sektor? Mag das an falschen Partitionstabellen oder so liegen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:33 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131