Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Maleware ! Weg ohne Reinstall des Windoof ? (https://www.trojaner-board.de/79688-maleware-weg-ohne-reinstall-windoof.html)

+DS_DV+ 23.11.2009 19:25
Maleware ! Weg ohne Reinstall des Windoof ?
 
HI,

wi immer bei den nuen n00bs eis ich natürlich nicht ob der thread hier richtig ist
aba mir wurde gesagt das man hir schnell und kompetente hilfe kriegt ^^

ich hab leztenz entdekt das ich 2Maleware.exen auf meinem PC hab !
(seihe Photo)

http://www.pic-upload.de/view-3755738/Clipboard02.jpg.html

HijakLOG
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:17, on 23.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\system32\Ati2evxx.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\system32\Ati2evxx.exe
D:\WINXP\system32\spoolsv.exe
D:\Programme\Creative\Shared Files\CTAudSvc.exe
D:\WINXP\Explorer.EXE
D:\Programme\avmwlanstick\wlangui.exe
D:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
D:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\RocketDock\RocketDock.exe
D:\Programme\avmwlanstick\WlanNetService.exe
D:\Programme\Logitech\GamePanel Software\Applets\LCDMedia.exe
D:\Programme\Logitech\GamePanel Software\Applets\ColorOnly\LCDPictureViewer.exe
D:\Programme\LogMeIn Hamachi\hamachi-2.exe
D:\WINXP\system32\PnkBstrA.exe
D:\WINXP\system32\Tablet.exe
D:\WINXP\system32\wscntfy.exe
D:\WINXP\System32\svchost.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Free Extended Task Manager\Extensions\TaskManager\ExtensionsTaskManager32.exe
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.116.60.2:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Programme\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [AVMWlanClient] D:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Launch LgDeviceAgent] "D:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video - res://D:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O8 - Extra context menu item: Save YouTube Video as MP3 - res://D:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\winxp\system32\nwprovau.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINXP\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - D:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - D:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - D:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Findbasic Service - Unknown owner - D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Findbasic\findbasic137.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - D:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINXP\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - D:\Programme\WinPcap\rpcapd.exe
O23 - Service: stllssvr - Unknown owner - D:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINXP\system32\Tablet.exe
O23 - Service: TunngleService - Tunngle.net GmbH - D:\Programme\Tunngle\TnglCtrl.exe

--
End of file - 7201 bytes

+DS_DV+ 23.11.2009 21:20
Wie kireg ich das weg hillfe !

Acid303 23.11.2009 21:43
Hallo DS

:hallo:

Schritt 1:

Lade dir den CCleaner runter und reinige damit dein System und die Registry.

Schritt 2:

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

* Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
* Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
* Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
* Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

Schritt 3:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

http://filepony.de/download-otl/

Schritt 4:

Lade dir Malwarebytes herunter und scanne damit dein komplettes System.

Schritt 5:

Rootkitsuche.

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der Gmer Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!


Alle anfallenden logs bitte in code-tags posten (# button) oder an deine Antwort anhängen.

Gruß

Acid

+DS_DV+ 24.11.2009 15:23
also....

OLT
Code:
OTL logfile created on: 24.11.2009 13:02:57 - Run 1
OTL by OldTimer - Version 3.1.8.0    Folder = D:\Dokumente und Einstellungen\DS_DV\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,40 Gb Available Physical Memory | 69,94% Memory free
3,85 Gb Paging File | 3,41 Gb Available in Paging File | 88,62% Paging File free
Paging file location(s): D:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINXP | %ProgramFiles% = D:\Programme
Drive C: | 60,00 Gb Total Space | 39,63 Gb Free Space | 66,05% Space Free | Partition Type: NTFS
Drive D: | 92,65 Gb Total Space | 32,13 Gb Free Space | 34,67% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 298,08 Gb Total Space | 226,27 Gb Free Space | 75,91% Space Free | Partition Type: NTFS
Drive H: | 279,46 Gb Total Space | 87,12 Gb Free Space | 31,17% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
Drive N: | 7,41 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive O: | 74,53 Gb Total Space | 72,94 Gb Free Space | 97,87% Space Free | Partition Type: NTFS
 
Computer Name: IMPERIUMSHQ
Current User Name: DS_DV
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

OLT 2# EXTRA
[CODE]OTL Extras logfile created on: 24.11.2009 13:02:57 - Run 1
OTL by OldTimer - Version 3.1.8.0 Folder = D:\Dokumente und Einstellungen\DS_DV\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,40 Gb Available Physical Memory | 69,94% Memory free
3,85 Gb Paging File | 3,41 Gb Available in Paging File | 88,62% Paging File free
Paging file location(s): D:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = D: | %SystemRoot% = D:\WINXP | %ProgramFiles% = D:\Programme
Drive C: | 60,00 Gb Total Space | 39,63 Gb Free Space | 66,05% Space Free | Partition Type: NTFS
Drive D: | 92,65 Gb Total Space | 32,13 Gb Free Space | 34,67% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 298,08 Gb Total Space | 226,27 Gb Free Space | 75,91% Space Free | Partition Type: NTFS
Drive H: | 279,46 Gb Total Space | 87,12 Gb Free Space | 31,17% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
Drive N: | 7,41 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive O: | 74,53 Gb Total Space | 72,94 Gb Free Space | 97,87% Space Free | Partition Type: NTFS

Computer Name: IMPERIUMSHQ
Current User Name: DS_DV
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- D:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
htmlfile [edit] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "D:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "D:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "D:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
https [open] -- "D:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "D:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "D:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"56407:TCP" = 56407:TCP:*:Enabled:Pando Media Booster
"56407:UDP" = 56407:UDP:*:Enabled:Pando Media Booster
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"56407:TCP" = 56407:TCP:*:Enabled:Pando Media Booster
"56407:UDP" = 56407:UDP:*:Enabled:Pando Media Booster
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4
"3703:TCP" = 3703:TCP:*:Enabled:Adobe Version Cue CS4 Server
"3704:TCP" = 3704:TCP:*:Enabled:Adobe Version Cue CS4 Server
"51000:TCP" = 51000:TCP:*:Enabled:Adobe Version Cue CS4 Server
"51001:TCP" = 51001:TCP:*:Enabled:Adobe Version Cue CS4 Server

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"D:\Programme\Pando Networks\Media Booster\PMB.exe" = D:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"D:\Programme\Electronic Arts\Combat Arms\CombatArms.exe" = D:\Programme\Electronic Arts\Combat Arms\CombatArms.exe:*Enabled:CombatArms.exe -- File not found
"D:\Programme\Electronic Arts\Combat Arms\Engine.exe" = D:\Programme\Electronic Arts\Combat Arms\Engine.exe:*Enabled:Engine.exe -- File not found
"D:\Nexon\Combat Arms EU\CombatArms.exe" = D:\Nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe -- (Nexon)
"D:\Nexon\Combat Arms EU\Engine.exe" = D:\Nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe -- (Nexon)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"D:\Programme\Electronic Arts\Battlefield 2142\BF2142.exe" = D:\Programme\Electronic Arts\Battlefield 2142\BF2142.exe:*:Enabled:Battlefield 2 -- ()
"D:\Programme\Java\jre6\bin\java.exe" = D:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- File not found
"D:\Programme\Steam\steam.exe" = D:\Programme\Steam\steam.exe:*:Enabled:Steam -- (Valve Corporation)
"D:\Soldat\Soldat.exe" = D:\Soldat\Soldat.exe:*:Enabled:Soldat -- (Michal Marcinkowski)
"D:\Programme\KillingFloor\KillingFloor\System\KillingFloor.exe" = D:\Programme\KillingFloor\KillingFloor\System\KillingFloor.exe:*:Enabled:KillingFloor -- ()
"D:\Programme\TrackMania United\TmUnited.exe" = D:\Programme\TrackMania United\TmUnited.exe:*:Enabled:TmUnited -- File not found
"D:\Programme\Xfire\Xfire.exe" = D:\Programme\Xfire\Xfire.exe:*:Enabled:Xfire -- (Xfire Inc.)
"D:\Programme\Left 4 Dead\hl2.exe" = D:\Programme\Left 4 Dead\hl2.exe:*:Enabled:hl2 -- ()
"D:\Programme\Steam\steamapps\darth_vader210\half-life 2 deathmatch\hl2.exe" = D:\Programme\Steam\steamapps\darth_vader210\half-life 2 deathmatch\hl2.exe:*:Enabled:hl2 -- ()
"D:\WINXP\system32\PnkBstrA.exe" = D:\WINXP\system32\PnkBstrA.exe:*:Enabled:PnkBstrA -- ()
"D:\WINXP\system32\PnkBstrB.exe" = D:\WINXP\system32\PnkBstrB.exe:*:Enabled:PnkBstrB -- ()
"D:\Programme\Electronic Arts\Battlefield 2\BF2.exe" = D:\Programme\Electronic Arts\Battlefield 2\BF2.exe:*:Enabled:Battlefield 2 -- ()
"D:\Programme\Steam\steamapps\darth_vader210\counter-strike\hl.exe" = D:\Programme\Steam\steamapps\darth_vader210\counter-strike\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"D:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe" = D:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) -- ()
"D:\Programme\Pando Networks\Media Booster\PMB.exe" = D:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\NGM.exe" = D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\NGM.exe:*:Enabled:Nexon Game Manager -- (Nexon)
"D:\Programme\Electronic Arts\Combat Arms\CombatArms.exe" = D:\Programme\Electronic Arts\Combat Arms\CombatArms.exe:*Enabled:CombatArms.exe -- File not found
"D:\Programme\Electronic Arts\Combat Arms\Engine.exe" = D:\Programme\Electronic Arts\Combat Arms\Engine.exe:*Enabled:Engine.exe -- File not found


cut wegen 25000 zeiche begrenzung

+DS_DV+ 24.11.2009 15:25
kb mehr den rst zu posten also hab ich ih angehängt !

nachdem ich nach 3h scann meine maus fast nichmer bewegen konnte hab ich GMR abgebrochen rest is geupt und CC mach ich jezt ...

(kp wie nen scan meine "Übermaschiene" so lamen kann ?! )

hoffe es reicht schonma da ich balt wieder arbeiten will/muss ^..

lg +DS_DV+

Acid303 24.11.2009 23:25
Noch den Malwarebytes Scan und dann das log posten.

Gruß

Acid

+DS_DV+ 26.11.2009 14:04
geht nicht !
jedes mal wenn er mit dem scan fertig ist (3h) dann startet er anchdem er 7ben infizirte datein gelöscht hat neu !

Larusso 26.11.2009 14:09
Kurz einspring.

Kannst Du mir erklären was das ist?
Code:
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com

+DS_DV+ 26.11.2009 14:27
kp
siht nach irgendwas von adobe aus oder nicht ????

ist damit was nicht in ordnung ???

Larusso 26.11.2009 15:48
Wurde die Adobe master collection legal erworben. Diese Einträge sind nämlich ein Zeichen, dass es nicht so ist.

+DS_DV+ 26.11.2009 15:52
also soweit ich weis schon ..
zumindest haben wir diese box noch irwo ...
mein paps hat die mal bei Amazon oder so (irgendn online shop) gekauft...
aba die is zhmlich cool was man damit alles machen kann ^^

meinst du das ich deshalb diese komischen prozesse hab ?

lg +DS_DV+

Larusso 26.11.2009 16:01
Ich wollte das nur geklärt haben. Den Rest macht Acid mit dir ;)

Acid303 26.11.2009 18:45
Die gleiche Frage wie Larusso hätte ich dir jetzt auch gestellt aber er war schneller. ;)

MBAM geht also nicht? Probier mal einen Quickscan. Alles was gefunden wird löschen. Danach dann mal http://www.trojaner-board.de/51871-a...tispyware.html. Bitte beide logs posten.

Gruß

Acid

+DS_DV+ 26.11.2009 19:13
^^thx
aba dann hab ich noch kurz ne frage
weil mein paps meinte ich soll mal nachfragen woran man das noch erkkenen kann weil er hat es bei diesem ebayding , jehood oder so gekauft nich das er dafuer soviel geld ausgegeben hat und wir dann noch aerger kiregen ...
sollen wir das erstmal deinstallieren ???

danke schonmal und lg +DS_DV+

ach ja @ ACID den ezten scan kann ich zwar machen udn jedes mal wenn er nach 3h fertig ist statet er immer neu ...
irgend eine idee wie ich den log trotzdem speichern kann ???

Acid303 26.11.2009 19:23
Zitat:
Zitat von +DS_DV+ (Beitrag 483240)
^^thx
aba dann hab ich noch kurz ne frage
weil mein paps meinte ich soll mal nachfragen woran man das noch erkkenen kann weil er hat es bei diesem ebayding , jehood oder so gekauft nich das er dafuer soviel geld ausgegeben hat und wir dann noch aerger kiregen ...
sollen wir das erstmal deinstallieren ???

danke schonmal und lg +DS_DV+

ach ja @ ACID den ezten scan kann ich zwar machen udn jedes mal wenn er nach 3h fertig ist statet er immer neu ...
irgend eine idee wie ich den log trotzdem speichern kann ???
Naja, über ebay oder so gekauft ist ja nicht so schlimm aber wer hat die Einträge in die host-datei gemacht? Die kommen da ja nicht von alleine rein.

Code:
O1 - Hosts: 127.0.0.1 activate.adobe.com
Dieser hier blockt zum Beispiel die Verbindung zu Aktivierungs Server und den macht man eigentlich nur rein wenn man keine original Adobe Software nutzt. Also wenn diese gekaufte Box keine orignal CD´s enthält würde ich das ganze Zeug ganz schnell deinstallieren.

So nun zu den Scans. Welchen macht er nicht, Malwarebytes oder SAS?

Gruß

Acid

+DS_DV+ 26.11.2009 20:00
machen tut er alle nur bei maleware byts stratet er sich neu wen er fertig ist den anderen "neuen" lass ich grad laufen .......


lg +DS_DV+


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131