Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe PC infiziert (https://www.trojaner-board.de/68560-hilfe-pc-infiziert.html)

Eminemstyle 16.01.2009 15:13
Also um ganz sicher zu gehen, weil ich du mich verwirrst machen wirs so:

du machst einen neuen Malwarebytes Durchlauf( davor updaten)
Funde entfernen lassen, dann den Log posten.

Dann den SASW Scan.

Dann den HiJackThis log (neu) posten.

Liquid84 16.01.2009 15:19
Hier schonmal den neusten Malwarebytes Log (nach dem entfernen der Funde):
Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

16.01.2009 15:13:38
mbam-log-2009-01-16 (15-13-38).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 176483
Laufzeit: 59 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Rest kommt gleich wenn Superspywredurchgelaufen ist!!!

Danke danke schonmal

Gruß Liquid

Eminemstyle 16.01.2009 15:30
Okay das sieht ja scho mal gut aus :)

Liquid84 16.01.2009 16:34
So hier nun der SuperAntiSpyware LOG:

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/16/2009 at 04:23 PM

Application Version : 4.24.1004

Core Rules Database Version : 3712
Trace Rules Database Version: 1687

Scan type      : Complete Scan
Total Scan Time : 01:03:36

Memory items scanned      : 505
Memory threats detected  : 0
Registry items scanned    : 7433
Registry threats detected : 8
File items scanned        : 124578
File threats detected    : 0

Rogue.Component/Trace
        HKLM\Software\Classes\MSQPDXVX
        HKLM\Software\Classes\MSQPDXVX#msqpdxrun
        HKLM\Software\Classes\MSQPDXVX#msqpdxpff
        HKLM\Software\Classes\MSQPDXVX#msqpdxaff
        HKLM\Software\Classes\MSQPDXVX#msqpdxinfo
        HKLM\Software\Classes\MSQPDXVX#msqpdxid
        HKLM\Software\Classes\MSQPDXVX#msqpdxsrv
        HKLM\Software\Classes\MSQPDXVX#msqpdxpos


Hoffe das du mir damit weiterhelfen kannst!


Gruß Liquid

Eminemstyle 16.01.2009 16:37
Dann den neuen HiJackThis Log :)

und dann

1.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

2.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Liquid84 16.01.2009 17:57
Ok werde ich machen!!!
Kommt sobald ich es habe!!
Wird aber erst Montag morgen sein. Bin vorher nicht wieder im Büro!!

Liquid84 19.01.2009 15:37
Hi Leute danke für die gute Hilfe bisher,

so nun endlich die logfiles:

Aktueller Hijackthislog:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:29, on 19.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\hasplms.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\PDFDrucker\PDF24Updater.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\Busch\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDF24Updater.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec pcAnywhere Host-Dienst (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6859 bytes


AKtueller Log von Super Antispyware:
Code:
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 01/19/2009 bei 10:09 AM

Version der Applikation : 4.24.1004

Version der Kern-Datenbank : 3712
Version der Spur-Datenbank : 1687

Scan Art      : kompletter Scann
Totale Scann-Zeit : 01:00:48

Gescannte Speicherelemente  : 186
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 7448
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 124508
Erfasste Datei-Elemente  : 0

Und denn gewünschten Log von COmbofix:

Code:
ComboFix 09-01-18.03 - Busch 2009-01-19 15:25:31.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2046.1588 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Busch\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090118-0] *On-access scanning disabled* (Updated)
AV: Platinum 2007 *On-access scanning disabled* (Updated)
FW: Platinum 2007 Personal Firewall *disabled*
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\Cache
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2008-12-19 bis 2009-01-19  ))))))))))))))))))))))))))))))
.

2009-01-16 15:14 . 2009-01-19 09:07        <DIR>        d--------        c:\programme\SUPERAntiSpyware
2009-01-16 15:14 . 2009-01-16 15:14        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-16 15:14 . 2009-01-16 15:14        <DIR>        d--------        c:\dokumente und einstellungen\Busch\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-16 15:14 . 2009-01-16 15:14        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-16 12:25 . 2009-01-16 12:25        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2009-01-16 12:25 . 2009-01-16 12:25        <DIR>        d--------        c:\dokumente und einstellungen\Busch\Anwendungsdaten\Malwarebytes
2009-01-16 12:25 . 2009-01-16 12:25        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-16 12:25 . 2009-01-14 16:11        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-16 12:25 . 2009-01-14 16:11        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2009-01-12 15:39 . 2009-01-16 12:22        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-12 10:11 . 2009-01-12 10:11        <DIR>        d--------        c:\dokumente und einstellungen\Busch\Anwendungsdaten\TeamViewer
2009-01-12 10:10 . 2009-01-12 10:10        <DIR>        d--------        c:\dokumente und einstellungen\Busch\temp
2009-01-12 09:11 . 2009-01-12 09:11        <DIR>        d--------        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Spyware Terminator
2009-01-12 09:11 . 2009-01-12 09:11        <DIR>        d--------        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Grisoft
2009-01-09 11:54 . 2009-01-09 11:54        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Grisoft
2009-01-09 11:52 . 2009-01-09 11:52        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-01-09 11:51 . 2009-01-09 11:53        4,212        ---h-----        c:\windows\system32\zllictbl.dat
2009-01-09 11:50 . 2009-01-16 12:19        <DIR>        d--------        c:\windows\Internet Logs
2009-01-09 11:47 . 2009-01-09 11:47        <DIR>        d--------        c:\programme\NETGATE
2009-01-09 11:21 . 2009-01-09 11:21        <DIR>        d--------        c:\programme\CCleaner
2009-01-09 11:16 . 2009-01-09 11:23        <DIR>        d--------        c:\dokumente und einstellungen\Busch\Pavark
2009-01-09 10:08 . 2009-01-09 10:08        <DIR>        d--------        c:\programme\Alwil Software
2009-01-09 09:25 . 2009-01-09 09:25        0        --a------        c:\windows\system32\4ever
2008-12-19 09:47 . 2008-12-19 09:47        <DIR>        d--------        c:\programme\Foxit Software

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 14:24        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-01-16 11:10        ---------        d-----w        c:\programme\Gemeinsame Dateien\Network Associates
2009-01-14 08:39        ---------        d-----w        c:\programme\Google
2009-01-12 15:06        ---------        d---a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-12 14:44        153,407        ----a-w        c:\windows\Internet Logs\vsmon_2nd_2009_01_12_12_13_51_small.dmp.zip
2009-01-12 10:05        ---------        d-----w        c:\programme\CADWorx Plant 2009
2009-01-09 13:28        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdf995
2009-01-09 09:47        ---------        d-----w        c:\programme\pdf999
2009-01-09 07:59        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-12-17 12:12        ---------        d-----w        c:\dokumente und einstellungen\Busch\Anwendungsdaten\vlc
2008-12-17 12:10        ---------        d-----w        c:\programme\VideoLAN
2008-12-12 17:01        3,088,896        ------w        c:\windows\system32\dllcache\mshtml.dll
2008-11-28 08:53        ---------        d-----w        c:\dokumente und einstellungen\xxx\Anwendungsdaten\NASA
2008-11-21 08:21        ---------        d-----w        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Autodesk
2008-11-19 13:58        ---------        d-----w        c:\dokumente und einstellungen\admin\Anwendungsdaten\Sonic
2008-11-19 13:58        ---------        d-----w        c:\dokumente und einstellungen\admin\Anwendungsdaten\Leadertech
2008-11-07 15:45        2,174,976        ------w        c:\windows\system32\dllcache\WMVCore.dll
2008-10-24 11:21        455,296        ------w        c:\windows\system32\dllcache\mrxsmb.sys
2008-10-23 12:36        286,720        ----a-w        c:\windows\system32\gdi32.dll
2008-10-23 12:36        286,720        ------w        c:\windows\system32\dllcache\gdi32.dll
2007-08-06 11:07        8,784        ----a-w        c:\programme\mozilla firefox\plugins\ractrlkeyhook.dll
2007-07-18 13:54        245,408        ----a-w        c:\programme\mozilla firefox\plugins\unicows.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-22 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-26 143360]
"DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PDFPrint"="c:\programme\PDFDrucker\PDF24Updater.exe" [2006-12-02 228670]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-26 81920]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-26 8523776]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-20 c:\windows\stsystra.exe]
"nwiz"="nwiz.exe" [2008-05-26 c:\windows\system32\nwiz.exe]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2005-09-27 11:13 45056 c:\windows\system32\avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2006-02-24 12:00 8704 c:\windows\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0sremcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APVXDWIN]
--a------ 2006-10-11 11:09 364544 c:\programme\Panda Software\Panda Internet Security 2007\apvxdwin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-05-26 15:06 8523776 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SCANINICIO]
--a------ 2006-02-01 17:13 22528 c:\programme\Panda Software\Panda Internet Security 2007\Inicio.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PAVSRV"=2 (0x2)
"PavPrSrv"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bentley\\Program\\MicroStation\\ustation.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FARO\\FARO Scout LT\\FARO Scout LT.exe"=
"c:\\Programme\\Symantec\\pcAnywhere\\awhost32.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\CSpace\\CSpace.exe"=
"c:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"c:\\Program Files\\Foxit Software\\PDF Editor\\PDFEdit.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1947:TCP"= 1947:TCP:HASP SRM
"1947:UDP"= 1947:UDP:HASP SRM
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-09 111184]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-12-22 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-12-22 55024]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-22 7408]
R4 ASFIPmon;Broadcom ASF IP Monitor;c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service --> c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service [?]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-09 20560]
R4 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run --> c:\windows\system32\hasplms.exe  -run [?]
S1 ShldDrv;Panda File Shield Driver; [x]
S1 SpyEmrg;Spy Emergency Driver;c:\windows\system32\Drivers\spyemrg.sys --> c:\windows\system32\Drivers\spyemrg.sys [?]
S3 PavSRK.sys;PavSRK.sys;\??\c:\windows\system32\PavSRK.sys --> c:\windows\system32\PavSRK.sys [?]
S3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys --> c:\windows\system32\PavTPK.sys [?]
S3 SpyEmrgAccess;Spy Emergency OnAccess Driver;c:\windows\system32\Drivers\spyemrg_access.sys --> c:\windows\system32\Drivers\spyemrg_access.sys [?]
S3 SpyEmrgGuard;Spy Emergency Real-Time Shield Driver;c:\windows\system32\Drivers\spyemrg_guard.sys --> c:\windows\system32\Drivers\spyemrg_guard.sys [?]
S4 cpoint;Panda CPoint Driver;c:\windows\system32\drivers\cpoint.sys [2007-07-24 16640]
S4 PavProc;Panda Process Protection Driver;\??\c:\windows\system32\DRIVERS\PavProc.sys --> c:\windows\system32\DRIVERS\PavProc.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-01-16 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Google-Suche - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verweisseiten - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
LSP: c:\programme\panda software\panda internet security 2007\pavlsp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-19 15:26:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\SYSTEM32\avldr.dll
.
Zeit der Fertigstellung: 2009-01-19 15:28:39
ComboFix-quarantined-files.txt  2009-01-19 14:28:12

Vor Suchlauf: 24 Verzeichnis(se), 288.871.043.072 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 289,272,033,280 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

196        --- E O F ---        2008-12-18 14:21:09



Activescan läuft noch!!!

Kommt aber auch gleich!!



Hoffe ihr könnt mir weiterhelfen


Lg Liquid

Eminemstyle 19.01.2009 15:50
Den Log vom Panda Scan zeigen.

Danach dann Spybot S&D deinstallieren.
CCleaner drüber laufen lassen (Auch Registry reinigen). (http://www.trojaner-board.de/51464-a...-ccleaner.html)

Du hast doch jetzt McAfee deinstalliert?
Und was hat es sich mit Avast auf sich?

Danach einen neuen HiJackThis Log und sagen ob sich das verbessert hat mit deinem System ob es noch irgendendetwas gibt.

Liquid84 19.01.2009 16:26
SO nun noch den PANDA Scan LOG:

Code:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-01-19 16:25:35
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                      Active    Updated
;===================================================================================================================================================================================
Panda Internet Security 2007                11.00.02                      No        No
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00484705  Application/IEDefender            HackTools          No        0        Yes            No          C:\Qoobox\Quarantine\C\WINDOWS\system32\IEDFix.C.exe.vir
00484705  Application/IEDefender            HackTools          No        0        Yes            No          C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix\IEDFix.C.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             
;===================================================================================================================================================================================
No        C:\Dokumente und Einstellungen\Busch\Desktop\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                           
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity  Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               
;===================================================================================================================================================================================
;===================================================================================================================================================================================


Was soll ich tun?????



LG Liquid

Liquid84 19.01.2009 16:29
JA habe McAffe deinstalliert und SpybotSearch war nie installiert sondern liuef vom USB stick aus, da ich auf Grund der Viren, disen sonst garnicht installiert bekam!!!


NEuster log nach dem ich CCcleaner benutzt habe.

Hijackthislog:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:29:27, on 19.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\hasplms.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\PDFDrucker\PDF24Updater.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\Busch\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDF24Updater.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec pcAnywhere Host-Dienst (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6859 bytes


Was kann ich jetzt noch tun???


Achja Avst ist mein Virenbscanner!!


Gruß Liquid

Eminemstyle 19.01.2009 21:57
Dieses hier fixen:
Code:
UnbekanntO9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
Was hat es mit Norton auf sich?
Darf man das löschen?

Liquid84 19.01.2009 22:33
Wird gemacht gebe ich morgen Bescheid!!

Norton kann man nicht löschen. Das ist unsere Fernsteuerstoftware in der Firma.

Danke für eure Hilfe.

Meint ihr ich muss sonst noch was machen oder bin ich nun wieder Virenfrei???


Lg Liquid

Eminemstyle 19.01.2009 22:34
Nein, bitte hier bleiben. Ich geh jetzt ins Bett und mache mir morgen Gedanken darüber.

Aber gibts denn noch Auffälligkeiten?

Liquid84 20.01.2009 10:18
KAnn im moment keine Aufälligkeiten mehr feststellen.

LG Liquid


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:01 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27