Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte schaut euch mal mein Log an (https://www.trojaner-board.de/69251-bitte-schaut-euch-mal-log.html)

EMMA77 28.01.2009 15:29
Bitte schaut euch mal mein Log an
 
ComboFix 09-01-21.04 - xxx 2009-01-28 13:08:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.254.90 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006
c:\dokumente und einstellungen\xxx\Anwendungsdaten\driveclean-upinstallfull_de[1].exe
c:\dokumente und einstellungen\xxx\Anwendungsdaten\installer_de[1].exe
c:\dokumente und einstellungen\xxx\Anwendungsdaten\WinAntiVirus Pro 2006
c:\dokumente und einstellungen\xxx\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe
c:\programme\Gemeinsame Dateien\winantivirus pro 2006
c:\programme\Gemeinsame Dateien\winantivirus pro 2006\WapCHK.dll
c:\programme\Gemeinsame Dateien\WinSoftware
c:\programme\Gemeinsame Dateien\WinSoftware\CrXML.dll
c:\programme\QUAD Utilities
C:\WA6P
c:\windows\system32\pppcgm.exe
c:\windows\system32\sphlp32.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FOPN
-------\Legacy_VSPF
-------\Legacy_VSPF_HK
-------\Service_FOPN
-------\Service_vspf
-------\Service_vspf_hk


((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-28 ))))))))))))))))))))))))))))))
.

2009-01-28 13:01 . 2009-01-28 13:02 <DIR> d-------- C:\32788R22FWJFW
2009-01-10 20:12 . 2009-01-10 20:12 23,392 --a------ c:\windows\system32\nscompat.tlb
2009-01-10 20:12 . 2009-01-10 20:12 16,832 --a------ c:\windows\system32\amcompat.tlb

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-28 10:57 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-28 10:57 --------- d-----w c:\programme\EPSON
2009-01-27 12:55 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-01-18 01:25 --------- d-----w c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2009-01-12 14:32 --------- d-----w c:\dokumente und einstellungen\xxx\Anwendungsdaten\PC Suite
2009-01-10 19:11 --------- d-----w c:\programme\Google
2009-01-10 19:09 --------- d-----w c:\programme\Windows Media Connect 2
2009-01-10 19:00 --------- d-----w c:\programme\EPS PostScript PDF 2 JPG & Co 1
2008-12-21 17:10 --------- d-----w c:\programme\Java
2008-03-12 13:15 100,924 ----a-w c:\dokumente und einstellungen\xxx\last_report.dat
2006-12-12 08:58 46,592 ----a-w c:\dokumente und einstellungen\xxx\fopn.sys
2005-11-14 19:38 22,072 ----a-w c:\dokumente und einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-07-02 180269]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-21 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.MJPG"= pvmjpg21.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0stera

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Phone\\Skype.exe"=

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - Alerter
*Deregistered* - AntiVirScheduler
*Deregistered* - AntiVirService
*Deregistered* - AudioSrv
*Deregistered* - bgsvcgen
*Deregistered* - Bonjour Service
*Deregistered* - Browser
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - HidServ
*Deregistered* - IpNat
*Deregistered* - iPod Service
*Deregistered* - IPSec
*Deregistered* - JavaQuickStarterService
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - mnmdd
*Deregistered* - Modem
*Deregistered* - Mouclass
*Deregistered* - MountMgr
*Deregistered* - MRxDAV
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - mssmbios
*Deregistered* - Mup
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - NWCWorkstation
*Deregistered* - NwlnkIpx
*Deregistered* - NwlnkNb
*Deregistered* - NwlnkSpx
*Deregistered* - NWRDR
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - rdpdr
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - stisvc
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - tunmp
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WmiApSrv
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WudfPf
*Deregistered* - WudfSvc
*Deregistered* - WZCSVC

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{acb14780-3252-11dd-be3c-0002b32d0519}]
\Shell\AutoRun\command - E:\PMB_P.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{87CFD49F-0DEF-149C-ED26-4E08A930A067} - control64.dll
HKCU-Run-UnSpyPC - c:\programme\UnSpyPC\UnSpyPC.exe
HKCU-Run-OM_Monitor - c:\programme\OLYMPUS\OLYMPUS Master\Monitor.exe
HKCU-Run-ICQ - c:\programme\ICQ6\ICQ.exe
HKCU-Run-jopplerg - hyandex.exe
HKCU-Run-gabber - TRPT.exe
HKLM-Run-ICQ Lite - c:\programme\ICQLite\ICQLite.exe
HKLM-Run-dmwzq.exe - c:\windows\system32\dmwzq.exe
HKLM-Run-gdccw - c:\progra~1\GEMEIN~1\FESTPL~1\GDCcw.exe
MSConfigStartUp-iehelper - xsetup.exe
MSConfigStartUp-TForm1 - qwe.exe
MSConfigStartUp-TRPT - ssweeper.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.myspace.com/
mStart Page = hxxp://www.msn.de/
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = xxx
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: beatport.com\.www
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-28 13:21:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\bgsvcgen.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-28 13:30:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-28 12:30:01

Vor Suchlauf: 17 Verzeichnis(se), 58.463.617.024 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 59,020,894,208 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

251 --- E O F --- 2008-10-25 08:42:55



ich hoffe ich habe es richtig gemacht:o

Rex Fatuorum 28.01.2009 15:40
Wer hat dir denn gesagt du sollst "Combofix" laufen lassen ..?
Frag doch denjenigen besser mal...

EMMA77 28.01.2009 16:11
ist das denn nicht richtig!!!! ein Freund von mir meinte ich sollte dies mal machen!!! Ich kenne mich wirklich garnicht damit aus! Entschuldigung


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131