Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   iexplore.exe (https://www.trojaner-board.de/88120-iexplore-exe.html)

g_G 13.07.2010 12:47
iexplore.exe
 
Hallo,
ich habe ein Problem es öffnet sich immer der Internet Explorer mit irgendwelcher Werbung manchmal kommen sogar irgendwelche Töne.
Ich habe schon gegoogelt und es gibt auch Leute mit diesem Problem. Doch jeder hat eine Individuelle Lösung bekommen.
Ich hab mit Avira mein System schon überprüft auch mit Spybot und mit HiJackThis, im Moment überprüfe ich mein System mit Malwarebytes.
Ich möchte eigentlich nicht mein System neu aufsetzten, könnt ihr mir helfen?
Hier ist noch mein HiJackThis logfile

Code:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\WINDOWS\Mixer.exe
C:\Programme\A4Tech\Mouse\Amoumain.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Saitek\SD6\Software\ProfilerU.exe
C:\Programme\Saitek\SD6\Software\SaiMfd.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\ICQ7.0\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis204.exe

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ProfilerU] C:\Programme\Saitek\SD6\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\SD6\Software\SaiMfd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MSCamSvc - Unknown owner - C:\Programme\Microsoft LifeCam\MSCamS32.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: Hardware management services (svchost) - Unknown owner - C:\WINDOWS\system\svchost.exe (file missing)

--
End of file - 9216 bytes

markusg 13.07.2010 12:54
poste erst mal das malwarebytes log, dann gehts los :-)
mache sicherheitshalber ne sicherung deiner wichtigen daten, falls etwas schief läuft.

g_G 13.07.2010 13:35
Danke für die schnelle Hilfe!

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4308

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13.07.2010 14:30:57
mbam-log-2010-07-13 (14-30-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 383228
Laufzeit: 1 Stunde(n), 47 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8mmnm-3hds2bu-brsv8-8cud2v-k1rnpuk3e} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{t1477i6e-pa52-yk0u-1tr6-r6hof4j32y4e} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Cerberus (Backdoor.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\kernel33.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.

markusg 13.07.2010 13:46
wichtige daten gesichert?
bitte
esage lab - resources
herunterladen. Entpacke den bitte
entpacke das archiv in einen eigenen ordner.
doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im
MBR suchen.
poste das log.
ne ahnung wo oder wie du dir das eingefangen hast? downloads etc?

g_G 13.07.2010 18:47
Wie biege ich dann das wieder gerade?
hier:
Code:
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: b19ee33a0168d5f0bb9afbe12e2bc035
\\.\D: -> \\.\PhysicalDrive0
\\.\M: -> \\.\PhysicalDrive1
MD5: b19ee33a0168d5f0bb9afbe12e2bc035

    Size  Device Name          MBR Status
 --------------------------------------------
  465 GB  \\.\PhysicalDrive0  Unknown boot code
  931 GB  \\.\PhysicalDrive1  Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...
hab jetzt aus einem anderen Thread gelesen das ich dann das eingeben muss remover.exe fix \\.\PhysicalDrive0
und das remover.exe fix \\.\PhysicalDrive1
das hab ich gemacht.
Was muss ich jetzt machen ?
Der iexplore Prozess ist immer noch da.

markusg 14.07.2010 12:26
ist er nach neustart immernoch da? poste mal ein neues log vom remover

g_G 14.07.2010 17:52
Ja er ist immer noch da beim Remover ist alles grün

markusg 14.07.2010 18:30
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

g_G 23.07.2010 00:06
Code:
ComboFix 10-07-22.01 - Moritz 23.07.2010  0:54:55.2.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1164 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
C:\Programme\Gemeinsame Dateien\dtmp.crt
C:\start
C:\WINDOWS\settings.reg

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SVCHOST


(((((((((((((((((((((((  Dateien erstellt von 2010-06-22 bis 2010-07-22  ))))))))))))))))))))))))))))))
.

2010-07-14 08:31:16 . 2010-06-14 14:31:20        744448        -c----w-        C:\WINDOWS\system32\dllcache\helpsvc.exe
2010-07-13 10:42:05 . 2010-07-13 10:42:05        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\Malwarebytes
2010-07-13 10:41:58 . 2010-04-29 13:39:38        38224        ----a-w-        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-07-13 10:41:57 . 2010-07-13 10:41:57        --------        d-----w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-07-13 10:41:57 . 2010-04-29 13:39:26        20952        ----a-w-        C:\WINDOWS\system32\drivers\mbam.sys
2010-07-13 10:41:56 . 2010-07-13 10:42:01        --------        d-----w-        C:\Programme\Malwarebytes' Anti-Malware
2010-06-30 10:36:54 . 2010-06-30 10:36:54        --------        d-----w-        C:\Programme\Microsoft.NET
2010-06-30 10:36:54 . 2010-06-30 10:36:54        --------        d-----w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Microsoft
2010-06-30 10:32:43 . 2010-06-30 10:32:43        --------        d-----w-        C:\Programme\Microsoft Analysis Services
2010-06-30 10:31:43 . 2010-06-30 10:39:08        --------        d-----w-        C:\WINDOWS\SHELLNEW
2010-06-30 10:30:23 . 2010-06-30 10:30:23        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2010-06-30 10:29:23 . 2010-07-14 11:52:31        --------        d-----w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2010-06-30 10:28:31 . 2010-06-30 10:28:31        --------        d-----r-        C:\MSOCache

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-22 20:35:31 . 2009-08-22 06:02:50        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\ICQ
2010-07-22 18:41:11 . 2009-11-02 22:28:09        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\vlc
2010-07-22 14:49:12 . 2010-03-30 19:42:14        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\TS3Client
2010-07-19 00:27:15 . 2010-01-08 20:00:53        --------        d-----w-        C:\Programme\JDownloader
2010-07-18 09:23:50 . 2008-07-05 16:49:48        --------        d-----w-        C:\Programme\LimeWire
2010-07-16 00:09:01 . 2009-09-11 00:45:28        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\dvdcss
2010-07-14 19:25:48 . 2009-09-24 17:27:58        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\FileZilla
2010-07-14 19:22:07 . 2009-09-09 12:09:47        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\HLSW
2010-07-13 09:40:09 . 2007-12-22 20:01:38        --------        d--h--w-        C:\Programme\InstallShield Installation Information
2010-07-13 09:39:52 . 2010-01-19 21:31:37        --------        d-----w-        C:\Programme\Miranda IM
2010-07-13 09:39:48 . 2010-01-19 21:03:30        --------        d-----w-        C:\Programme\Passware
2010-07-13 09:16:05 . 2010-03-26 22:02:51        --------        d-----w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-07-13 08:51:58 . 2008-01-26 00:10:03        --------        d-----w-        C:\Programme\Hex-Editor MX
2010-07-13 08:51:42 . 2009-12-24 18:46:30        --------        d-----w-        C:\Programme\ATI Technologies
2010-07-13 08:50:52 . 2010-04-06 00:28:10        --------        d-----w-        C:\Programme\EslWire
2010-07-13 08:49:51 . 2008-07-05 22:32:45        --------        d-----w-        C:\Programme\Bonjour
2010-07-13 08:49:26 . 2009-10-16 19:45:04        --------        d-----w-        C:\Programme\ACProtect
2010-07-08 00:01:17 . 2009-08-22 07:51:30        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\Mumble
2010-07-06 22:32:25 . 2009-06-28 17:05:55        --------        d-----w-        C:\Programme\Mumble
2010-07-05 13:38:49 . 2010-05-19 16:00:40        --------        d-----w-        C:\Programme\Norton Security Scan
2010-07-05 13:38:49 . 2010-02-14 19:42:08        --------        d-----w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-07-03 13:18:47 . 2008-02-08 21:36:00        --------        d-----w-        C:\Programme\Opera
2010-07-01 12:48:09 . 2010-02-14 19:43:21        --------        d-----w-        C:\Programme\Gemeinsame Dateien\Symantec Shared
2010-06-30 15:25:28 . 2009-09-19 10:52:55        82704        ----a-w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-25 01:02:19 . 2001-08-18 11:00:00        80302        ----a-w-        C:\WINDOWS\system32\perfc007.dat
2010-06-25 01:02:19 . 2001-08-18 11:00:00        448800        ----a-w-        C:\WINDOWS\system32\perfh007.dat
2010-06-20 16:42:18 . 2010-06-20 16:42:18        --------        d-----w-        C:\Programme\S.A.D
2010-06-19 16:19:41 . 2009-08-22 06:07:29        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\teamspeak2
2010-06-15 22:27:40 . 2009-08-22 00:31:27        76487        ----a-w-        C:\WINDOWS\pchealth\helpctr\OfflineCache\index.dat
2010-06-14 14:31:20 . 2009-08-22 00:30:12        744448        ----a-w-        C:\WINDOWS\pchealth\helpctr\binaries\helpsvc.exe
2010-06-11 22:04:49 . 2010-03-30 19:41:53        --------        d-----w-        C:\Programme\TeamSpeak 3 Client
2010-06-10 09:27:21 . 2010-01-19 21:35:03        --------        d-----w-        C:\Programme\ICQ7.0
2010-06-09 08:06:33 . 2010-06-09 08:06:33        976832        ----a-w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Adobe\Reader\9.3\ARM\18570\AdobeARM.exe
2010-06-09 08:06:33 . 2010-06-09 08:06:33        70584        ----a-w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Adobe\Reader\9.3\ARM\18570\AdobeExtractFiles.dll
2010-06-09 08:06:33 . 2010-06-09 08:06:33        331176        ----a-w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Adobe\Reader\9.3\ARM\18570\ReaderUpdater.exe
2010-06-09 08:06:33 . 2010-06-09 08:06:33        331176        ----a-w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Adobe\Reader\9.3\ARM\18570\AcrobatUpdater.exe
2010-06-04 01:55:47 . 2009-09-04 13:30:17        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\mIRC
2010-06-03 18:49:21 . 2009-09-04 13:30:17        --------        d-----w-        C:\Programme\mIRC
2010-05-02 08:05:54 . 2004-08-03 23:46:24        1851392        ----a-w-        C:\WINDOWS\system32\win32k.sys
2009-05-01 21:02:48 . 2009-05-01 21:02:48        1044480        ----a-w-        C:\Programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02:48 . 2009-05-01 21:02:48        200704        ----a-w-        C:\Programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}]
2010-02-28 00:20:14        561552        ----a-w-        C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 14:31:16 2144088]
"Steam"="d:\steam\steam.exe" [2010-06-07 21:08:32 1238352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LCDMon"="C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 23:30:03 1687824]
"Launch LGDCore"="C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 00:08:45 2094352]
"C-Media Mixer"="Mixer.exe" [2003-03-20 00:21:00 1855488]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2009-07-14 11:34:58 13877248]
"CmPCIaudio"="CMICNFG3.cpl" [BU]
"WheelMouse"="C:\Programme\A4Tech\Mouse\Amoumain.exe" [2006-12-26 07:08:50 196608]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 05:15:22 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2008-03-16 23:44:27 81920]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 15:24:56 98304]
"ProfilerU"="C:\Programme\Saitek\SD6\Software\ProfilerU.exe" [2009-06-03 09:49:00 237568]
"SaiMfd"="C:\Programme\Saitek\SD6\Software\SaiMfd.exe" [2009-06-03 09:49:18 131072]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 00:57:28 35760]
"Adobe ARM"="C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 08:06:33 976832]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2009-11-10 22:08:18 417792]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 09:28:23 282792]
"CTSysVol"="C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 08:51:52 57344]
"P17Helper"="P17.dll" [2005-05-03 11:38:42 64512]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-10 23:00:00 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 05:52:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMONR]
2005-10-23 11:43:37        507392        --sha-r-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\winupdate\win.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\devolo\\informer\\devinf.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Java\\jre6\\bin\\java.exe"=
"C:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\HLSW\\hlsw.exe"=
"C:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"D:\\Steam\\steamapps\\**\\killingfloor\\System\\KillingFloor.exe"=
"D:\\Steam\\steamapps\\**n\\left 4 dead\\left4dead.exe"=
"C:\\Programme\\ICQ7.0\\ICQ.exe"=
"C:\\Programme\\ICQ7.0\\aolload.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Ventrilo\\Ventrilo.exe"=
"D:\\Steam\\steamapps\\**\\r.u.s.e. beta\\Ruse.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"C:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"D:\\Steam\\steamapps\\**o\\day of defeat source\\hl2.exe"=
"D:\\Steam\\steamapp**\\call of duty modern warfare 2\\iw4sp.exe"=
"D:\\Steam\\steamapps\\**\call of duty modern warfare 2\\iw4mp.exe"=
"D:\\Steam\\steamapps\\**\\counter-strike source\\hl2.exe"=
"D:\\Steam\\steamapps\\**\\counter-strike source\\hl2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [25.03.2010 22:19:16 135336]
R2 CGVPNCliSrvc;CyberGhost VPN Client;C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe [20.06.2010 18:42:19 2398344]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);C:\WINDOWS\system32\drivers\npf_devolo.sys [28.11.2008 14:34:56 35840]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.sys [22.08.2009 06:31:36 17149]
S3 ESLvnic1;ESLvnic Virtual Network 32 Bit;C:\WINDOWS\system32\drivers\ESLvnic.sys [06.04.2010 02:28:11 24504]
S3 osppsvc;Office Software Protection Platform;C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37:50 4640000]
S3 PciCon;PciCon;\??\K:\PciCon.sys --> K:\PciCon.sys [?]
S3 WBio;WBio;\??\C:\DOKUME~1\**R\LOKALE~1\Temp\iniuriar0-winxp.sys --> C:\DOKUME~1\MORITZ~1.MOR\LOKALE~1\Temp\iniuriar0-winxp.sys [?]
S4 SearchAnonymizer;SearchAnonymizer;C:\Dokumente und Einstellungen\**\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe [19.01.2010 20:56:12 40960]
S4 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [28.11.2009 19:30:02 722416]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{76EECD06-1499-A525-D9E1-732611BA0322}]
C:\WINDOWS\system32\winupd.exe [BU]
.
Inhalt des "geplante Tasks" Ordners

2010-07-19 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34:12 . 2008-07-30 11:34:12]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xcel exportieren - C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - C:\Dokumente und Einstellungen\**-5EB8941E\Anwendungsdaten\Mozilla\Firefox\Profiles\zkc8vxgv.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: network.proxy.type - 2
FF - plugin: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL
FF - plugin: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL
FF - plugin: C:\Programme\Opera\program\plugins\npdivx32.dll
FF - plugin: C:\Programme\VOIPlay\npvoiplay.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
C:\Programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
C:\Programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
C:\Programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
C:\Programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
C:\Programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
C:\Programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
C:\Programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
C:\Programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
C:\Programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
C:\Programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

markusg 23.07.2010 00:39
Start, programme, zubehör, editor,
kopiere rein:

Killall::
Rootkit::
C:\WINDOWS\system32\winupd.exe
Folder::
C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\winupdate

Datei speichern unter, tüp alle dateien, name,
cfscript.txt
speicherort: dort wo sich combofix.exe befindet, ziehe cfscript auf combofix, programm startet, log posten.

g_G 23.07.2010 01:05
Code:
ComboFix 10-07-22.01 - Moritz 23.07.2010  1:44:14.3.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1274 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\winupdate
C:\Dokumente und Einstellungen\**\Anwendungsdaten\winupdate\logs.dat
C:\Dokumente und Einstellungen\**\Anwendungsdaten\winupdate\plugin.dat
C:\Dokumente und Einstellungen\**\Anwendungsdaten\winupdate\win.exe

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SVCHOST


(((((((((((((((((((((((  Dateien erstellt von 2010-06-22 bis 2010-07-22  ))))))))))))))))))))))))))))))
.

2010-07-14 08:31:16 . 2010-06-14 14:31:20        744448        -c----w-        C:\WINDOWS\system32\dllcache\helpsvc.exe
2010-07-13 10:42:05 . 2010-07-13 10:42:05        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Anwendungsdaten\Malwarebytes
2010-07-13 10:41:58 . 2010-04-29 13:39:38        38224        ----a-w-        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-07-13 10:41:57 . 2010-07-13 10:41:57        --------        d-----w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-07-13 10:41:57 . 2010-04-29 13:39:26        20952        ----a-w-        C:\WINDOWS\system32\drivers\mbam.sys
2010-07-13 10:41:56 . 2010-07-13 10:42:01        --------        d-----w-        C:\Programme\Malwarebytes' Anti-Malware
2010-06-30 10:36:54 . 2010-06-30 10:36:54        --------        d-----w-        C:\Programme\Microsoft.NET
2010-06-30 10:36:54 . 2010-06-30 10:36:54        --------        d-----w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Microsoft
2010-06-30 10:32:43 . 2010-06-30 10:32:43        --------        d-----w-        C:\Programme\Microsoft Analysis Services
2010-06-30 10:31:43 . 2010-06-30 10:39:08        --------        d-----w-        C:\WINDOWS\SHELLNEW
2010-06-30 10:30:23 . 2010-06-30 10:30:23        --------        d-----w-        C:\Dokumente und Einstellungen\Moritz.MORITZ-5EB8941E\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2010-06-30 10:29:23 . 2010-07-14 11:52:31        --------        d-----w-        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2010-06-30 10:28:31 . 2010-06-30 10:28:31        --------        d-----r-        C:\MSOCache

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
also die iexplore.exe ist nun aus dem Taskmanager verschwunden

g_G 25.07.2010 23:09
Nun ist der Prozess wieder da und nichts wurde gedownloadet

markusg 26.07.2010 11:15
jo aber das log ist nicht vollständig


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131