Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC ist langsam Botvirus? (https://www.trojaner-board.de/94096-pc-langsam-botvirus.html)

23Alias1900 27.12.2010 16:30
werde jetzt das ganze noch mal im abgesicherten modus machen mit Combofix

markusg 27.12.2010 16:31
nach dem du im abgesicherten modus warst?

23Alias1900 27.12.2010 16:58
Hier der Logfile

ComboFix 10-12-25.03 - Administrator 27.12.2010 16:34:54.2.2 - x86 MINIMAL
ausgeführt von:: D:\Eigene Daten\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ibvuix\ciad.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat\gyvo.exe
C:\extensions.exe
C:\extensions.exe\config.bin
C:\jdsfjsdijf.exe
C:\jdsfjsdijf.exe\config.bin
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\wpcap.dll

-- Vorheriger Suchlauf --

Infizierte Kopie von C:\WINDOWS\system32\drivers\intelppm.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

Infizierte Kopie von C:\WINDOWS\system32\drivers\intelppm.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

C:\WINDOWS\explorer.exe . . . ist infiziert!!

--------

C:\WINDOWS\system32\winlogon.exe . . . ist infiziert!!

C:\WINDOWS\explorer.exe . . . ist infiziert!!

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2010-11-27 bis 2010-12-27 ))))))))))))))))))))))))))))))
.

2010-12-20 20:31:12 . 2010-12-20 20:31:12 -------- d-----w- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-12-20 16:57:26 . 2010-12-20 17:00:56 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrueCrypt
2010-12-20 16:56:59 . 2010-12-20 16:56:59 231248 ----a-w- C:\WINDOWS\system32\drivers\truecrypt.sys
2010-12-20 16:56:54 . 2010-12-20 16:56:59 -------- d-----w- C:\Programme\TrueCrypt
2010-12-19 19:42:00 . 2010-12-19 19:43:51 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2010-12-19 19:36:57 . 2010-12-19 19:41:50 -------- d-----w- C:\Programme\VLC
2010-12-17 17:42:36 . 2010-12-17 17:42:36 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoft
2010-12-17 17:42:20 . 2010-12-17 17:45:00 -------- d-----w- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2010-12-17 17:42:20 . 2010-12-17 17:42:20 -------- d-----w- C:\Programme\DVDVideoSoft
2010-12-17 17:37:38 . 2006-06-29 12:07:36 14048 ------w- C:\WINDOWS\system32\spmsg2.dll
2010-12-17 17:37:02 . 2010-12-17 17:37:05 -------- d-----w- C:\WINDOWS\system32\de-DE
2010-12-17 17:31:32 . 2010-12-17 17:37:01 -------- d-----w- C:\WINDOWS\system32\XPSViewer
2010-12-17 17:31:27 . 2010-12-17 17:31:28 -------- d-----w- C:\Programme\MSBuild
2010-12-17 17:31:19 . 2010-12-17 17:31:19 -------- d-----w- C:\Programme\Reference Assemblies
2010-12-17 17:30:34 . 2008-07-06 12:06:10 89088 ----a-w- C:\WINDOWS\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-12-17 17:28:39 . 2008-07-06 12:06:10 89088 -c----w- C:\WINDOWS\system32\dllcache\filterpipelineprintproc.dll
2010-12-17 17:28:39 . 2008-07-06 12:06:10 117760 ------w- C:\WINDOWS\system32\prntvpt.dll
2010-12-17 17:28:38 . 2008-07-06 10:50:04 597504 -c----w- C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe
2010-12-17 17:28:38 . 2008-07-06 10:50:04 597504 ------w- C:\WINDOWS\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-12-17 17:28:37 . 2008-07-06 12:06:10 575488 -c----w- C:\WINDOWS\system32\dllcache\xpsshhdr.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 575488 ------w- C:\WINDOWS\system32\xpsshhdr.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 1676288 -c----w- C:\WINDOWS\system32\dllcache\xpssvcs.dll
2010-12-17 17:28:37 . 2008-07-06 12:06:10 1676288 ------w- C:\WINDOWS\system32\xpssvcs.dll
2010-12-17 17:25:42 . 2010-12-17 17:25:42 -------- d-----w- C:\Programme\MSXML 6.0
2010-12-12 13:07:15 . 2010-12-12 13:07:16 -------- d-----w- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Steinberg
2010-12-12 13:06:52 . 2010-12-12 13:06:52 -------- d-----w- C:\Programme\Windows Media Components
2010-12-12 12:57:44 . 2000-09-07 14:06:20 1441792 ----a-w- C:\WINDOWS\system32\nspw7.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:06 1429504 ----a-w- C:\WINDOWS\system32\nspa6.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:02 1335296 ----a-w- C:\WINDOWS\system32\nspm5.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:02 1318912 ----a-w- C:\WINDOWS\system32\nspp6.dll
2010-12-12 12:57:44 . 2000-09-07 14:06:00 1404928 ----a-w- C:\WINDOWS\system32\nspm6.dll
2010-12-12 12:57:44 . 2000-09-07 14:05:58 1306624 ----a-w- C:\WINDOWS\system32\nsppx.dll
2010-12-12 12:57:44 . 2000-09-07 14:04:12 114688 ----a-w- C:\WINDOWS\system32\nsp.dll
2010-12-12 12:57:31 . 2010-12-12 13:06:14 -------- d-----w- C:\Programme\Steinberg
2010-12-05 13:55:35 . 2010-12-05 13:55:35 82 ----a-w- C:\cc_20101205_145526.reg
2010-11-28 14:14:52 . 2010-11-29 15:16:19 -------- d-----w- C:\Programme\Electronics Workbench 5.0
2010-11-28 10:39:32 . 2010-11-28 10:39:32 -------- d-----w- C:\Dokumente und Einstellungen\NetworkService\Startmenü
2010-11-28 09:49:00 . 2010-12-02 18:25:00 -------- d-----w- C:\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-22 16:21:17 . 2009-12-30 17:41:06 135096 ----a-w- C:\WINDOWS\system32\drivers\avipbb.sys
2010-11-28 09:50:58 . 2009-12-30 17:41:06 61960 ----a-w- C:\WINDOWS\system32\drivers\avgntflt.sys
.

------- Sigcheck -------

[-] 2004-11-11 12:00:00 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505 (xpsp.040806-1825)] . . C:\WINDOWS\system32\drivers\tcpip.sys

[-] 2004-11-11 12:00:00 . C194FC6A29F7BB1C3DDFACAFF1FBB2B1 . 507392 . . [5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOWS\system32\winlogon.exe

[-] 2004-11-11 12:00:00 . B63F325AD4D7DC317B8EE5933A189762 . 1035264 . . [6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOWS\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"="C:\Programme\EXPERTool\TBPanel.exe" [2009-05-12 14:43:36 2181672]
"AutoStartNPSAgent"="C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-01-14 15:38:04 102400]
"phonostarTimer"="C:\Programme\phonostar-Player\phonostarTimer.exe" [2010-01-18 12:31:52 37888]
"ICQ"="C:\Programme\ICQ7.2\ICQ.exe" [2010-10-27 12:20:45 133432]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 13:31:16 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 01:47:04 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 01:47:04 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 01:46:36 135168]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-23 08:51:26 16804864]
"nwiz"="nwiz.exe" [2009-06-10 07:29:34 1657376]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2009-06-10 07:28:50 86016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2009-06-10 07:28:50 13758464]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-12 17:39:29 281768]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 16:10:28 35696]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40:44 155648]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24:46 32768]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 01:20:00 398944]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 12:00:00 15360]

C:\Dokumente und Einstellungen\Default User\Startmen\Programme\Autostart\
ficyo.exe [2010-12-26 142336]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6.5\\ICQ.exe"=
"D:\\Programme\\Spiele\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"C:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\Anno4.exe"=
"C:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"D:\\Programme\\Spiele\\ComputerBild\\RiseofNation\\rise.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"C:\\Programme\\ICQ7.2\\ICQ.exe"=
"C:\\Programme\\ICQ7.2\\aolload.exe"=
"D:\\Programme\\Spiele\\Titan Quest Immortal Throne\\Tqit.exe"=
"D:\\Programme\\Spiele\\Heroes of Might and Magic V - Tribes of the East\\Heroes of Might and Magic V - Tribes of the East\\bin\\H5_Game.exe"=
"D:\\Programme\\Spiele\\Heroes of Might and Magic V\\bin\\H5_Game.exe"=
"D:\\Programme\\Spiele\\ComputerBild\\RiseofNation\\nations.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [30.12.2009 18:41:05 135336]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [08.01.2010 18:58:39 233472]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [30.12.2009 20:59:16 246520]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [08.01.2010 18:58:39 36608]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [08.01.2010 18:58:47 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [08.01.2010 18:58:47 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [08.01.2010 18:58:47 121856]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - FSUSBEXDISK
.
Inhalt des "geplante Tasks" Ordners

2010-12-03 C:\WINDOWS\Tasks\AntiVir starten.job
- C:\PROGRA~1\Avira\ANTIVI~1\avcenter.exe [2009-12-30 17:41:05 . 2010-11-12 17:39:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Free YouTube Download - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktnjlvm7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-{FCF5310F-450B-7EFA-8D4B-207F7169FBB5} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ibvuix\ciad.exe
HKCU-Run-{62835420-4BDA-49E1-C828-2A17B4854012} - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uzat\gyvo.exe
HKLM-Run-NPSStartup - (no file)
HKU-Default-RunOnce-20693579 - C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\20693579.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-27 16:48:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

markusg 27.12.2010 17:48
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\winlogon.exe
die beiden in unserem upload channel hocladen:
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html
dann poste das vollständige combofix log, da fehlt was.

23Alias1900 27.12.2010 19:36
mbr

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD4000AAJB-00YRA0 rev.12.01C02 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-10

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

und
pend

.:\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
C:\\boot.ini\\\(0!\|0\\0\)
C:\\ntdetect.com\\\(0!\|0\\0\)
C:\\ntldr\\\(0!\|0\\0\)
C:\\WINDOWS\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)

markusg 27.12.2010 19:54
das ist aber nicht der komplette untere teil.
es wird warscheinlich sowieso das beste sein den pc platt zu machen, zu viele verschiedene trojaner, den bekommen wir nicht sauber, jeden fall nicht so, dass du dort wieder beruhigt passwörter eingeben kannst.

23Alias1900 27.12.2010 19:57
ok dann werd ich das mal in angriff nehmen

markusg 27.12.2010 20:01
bitte sichere daten, dann melde dich noch mal, ich gebe dir dann weitere anweisungen zum neu aufsetzen und absichern.

23Alias1900 27.12.2010 20:24
werd ich machen aber das kann noch dauern so nach dem Ferien vllt


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:54 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131