Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Multibler Befall durch Trojaner (https://www.trojaner-board.de/124766-multibler-befall-trojaner.html)

Chrom 27.09.2012 11:58
Multibler Befall durch Trojaner
 
Hallo Trojaner-Board,

bei einer Aufräumaktion auf dem Nachbarrechner habe ich einen ganzen Wurf an Malware gefunden, vor allem Trojaner. Hier der Scanbericht von Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.27.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Ronny :: RONALD-69010F76 [Administrator]

Schutz: Aktiviert

27.09.2012 12:34:59
mbam-log-2012-09-27 (12-34-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 298435
Laufzeit: 11 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 37
C:\WINDOWS\Temp\QUNloYd.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\R6BEuZM.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\rgnygtgcuex.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\rultihehenqkvfejgpzm.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\IMO7wRr.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\dT9cZ93.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ezeyekhbko.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\feettox23.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\fvJcrgR.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\147gge.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\adfm32.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\alteki.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\anajbio.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\vDgj5og.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\vetua.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\goempthnhvhggp.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\guy12.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\gxzcnownvrku.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\pkvdnoljqd.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\kpC99IR.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\KPlKtGB.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\kptufvtqtdyevqli.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\la12.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\mmyiqrdyjnnxdgqv.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\npkglqqllbg.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\nSOKlq8.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\oimwxnglin.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\otgKDMC.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ouivgbv.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\bUn6qxH.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\80000000.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ncjoqzeradxeufaimuvloshd.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\aumoulkdpjyk.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\mvziazuqyjuxvkb.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\riqiiqirqntliuwdqfa.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Wie bekomme ich ohne Format c: den Rechner wieder sauber?

Danke und Gruß

Chrom

markusg 27.09.2012 12:02
hi
ob das ohne format geht, sehen wir erst nach analyse des pcs



combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.




malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Chrom 27.09.2012 12:53
Hier der Combofix-Bericht, danach der Bericht von Malwarebyte nach dem Combofix:

Combofix Logfile:
Code:
ComboFix 12-09-26.06 - Ronny 27.09.2012  13:29:49.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.968 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Eigene Dateien\Downloads\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ela\1234.doc
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\00000001.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\80000000.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\800000cb.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\WINDOWS
c:\dokumente und einstellungen\Ronny\pdf
c:\dokumente und einstellungen\Ronny\pdf\AnmeldeunterlagenBedenkirchen.pdf
c:\dokumente und einstellungen\Ronny\pdf\CantemusTelefonliste.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Damen 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Damen 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Herren 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Herren 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Einladung-Singwoche-Herbst09.pdf
c:\dokumente und einstellungen\Ronny\pdf\Flyer Singwochenende 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\flyer_beedenkirchen_2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Flyer_Singwochenende_2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorar-Beleg Herbst 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorar.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorarformular_CV.pdf
c:\dokumente und einstellungen\Ronny\pdf\Konradhütte.pdf
c:\dokumente und einstellungen\Ronny\pdf\Medinatura.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief April 2010 JC.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief November 2009 (Termine 2009-2010).pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief November 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief_März_2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\MorgenandachtOstern10.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\ÜbersGebirg.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\caresse_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin8.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\DaDieZeitVergangenWar.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Das Leben ist Sieger.jpg
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Das schenkt uns Gott.jpg
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Daydream Lullaby.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Dreaming.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\In Memoriam.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\InDiesenDunklenTagen.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\JauchzetGottAlleLande.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Kyrie, Rheinberger.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\lean_on_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\LocusIste.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Money money money KLAV.PDF
c:\dokumente und einstellungen\Ronny\pdf\Partituren\one_of_y.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\The moon SS.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Vertrau_o_Samson_PART_A.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\wade_in_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Rerservierung.pdf
c:\dokumente und einstellungen\Ronny\pdf\SGH_Fanschal.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Damen.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Damen_50.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Herren_40.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Herren_55.pdf
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\@
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\00000001.@
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-08-27 bis 2012-09-27  ))))))))))))))))))))))))))))))
.
.
2012-09-27 10:21 . 2012-09-27 10:21        --------        d-----w-        c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Malwarebytes
2012-09-27 10:21 . 2012-09-27 10:21        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2012-09-27 10:21 . 2012-09-27 10:21        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2012-09-27 10:21 . 2012-09-07 15:04        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-09-27 09:29 . 2012-09-19 09:29        31584        ----a-w-        c:\windows\system32\TURegOpt.exe
2012-09-27 09:29 . 2012-09-27 09:29        --------        d-----w-        c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\TuneUp Software
2012-09-27 09:29 . 2012-09-27 09:30        --------        d-----w-        c:\programme\TuneUp Utilities 2013
2012-09-27 09:28 . 2012-09-27 09:29        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2012-09-27 09:28 . 2012-09-27 09:28        --------        d-sh--w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
2012-09-27 09:28 . 2012-09-27 09:28        --------        d--h--w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Common Files
2012-09-27 09:27 . 2012-09-27 09:27        --------        d-----w-        c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Avira
2012-09-27 09:22 . 2012-09-24 07:58        36552        ----a-w-        c:\windows\system32\drivers\avkmgr.sys
2012-09-27 09:22 . 2012-09-13 08:58        134184        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2012-09-27 09:22 . 2012-09-13 08:58        83792        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2012-09-27 09:22 . 2012-09-27 09:22        --------        d-----w-        c:\programme\Avira
2012-09-27 09:22 . 2012-09-27 09:22        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2012-09-27 08:38 . 2008-02-15 11:21        147456        ----a-w-        c:\windows\system32\igfxCoIn_v4926.dll
2012-09-27 08:37 . 2012-09-27 08:37        --------        d-----w-        c:\dokumente und einstellungen\RONNY~1~RON
2012-09-27 08:13 . 2012-09-27 08:13        696240        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-09-27 08:10 . 2012-09-27 08:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2012-09-27 08:09 . 2012-09-27 08:09        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2012-09-27 08:09 . 2012-09-27 08:09        477168        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-09-27 08:09 . 2012-09-27 08:09        473072        ----a-w-        c:\windows\system32\deployJava1.dll
2012-09-26 15:24 . 2012-09-26 15:24        --------        d-----w-        c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Thunderbird
2012-09-26 15:24 . 2012-09-26 15:24        --------        d-----w-        c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2012-09-26 15:22 . 2012-09-26 15:23        --------        d-----w-        c:\programme\Mozilla Thunderbird
2012-09-26 14:59 . 2012-09-26 14:59        --------        d-----w-        c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-09-26 14:58 . 2012-09-26 14:58        --------        d-----w-        c:\programme\Mozilla Maintenance Service
2012-09-23 10:18 . 2012-09-23 10:18        --------        d-sh--w-        c:\windows\system32\config\systemprofile\PrivacIE
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-27 08:13 . 2011-08-13 21:16        73136        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-06 01:26 . 2012-09-26 14:58        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-22 16858112]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"FLMOFFICE4DMOUSE"="c:\programme\Browser Mouse\moffice.exe" [2011-08-02 806912]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-09-21 386336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk
backup=c:\windows\pss\FRITZ!DSL Startcenter.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^PHOTOfunSTUDIO HD Edition.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\PHOTOfunSTUDIO HD Edition.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO HD Edition.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Scanner Finder.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Scanner Finder.lnk
backup=c:\windows\pss\Scanner Finder.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-11 19:00        919008        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-07-31 11:20        38872        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2010-10-27 17:17        207424        ----a-w-        c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-10-09 10:28        139264        ----a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 20:17        49152        ----a-w-        c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-01-08 21:17        52256        ----a-w-        c:\programme\CyberLink\PowerDVD\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
2004-08-29 11:52        53248        ----a-w-        c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
2004-08-29 11:52        131072        ----a-w-        c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40        155648        ----a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nikon Message Center 2]
2010-05-25 17:16        619008        ----a-w-        c:\programme\Nikon\Nikon Message Center 2\NkMC2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-03-14 20:01        71216        ----a-w-        c:\programme\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ServiceLayer"=3 (0x3)
"RichVideo"=2 (0x2)
"NBService"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"gupdatem"=3 (0x3)
"gupdate"=2 (0x2)
"AdobeFlashPlayerUpdateSvc"=3 (0x3)
"ACDaemon"=2 (0x2)
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [27.09.2012 11:22 36552]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.09.2012 11:22 84256]
R2 avmidentd;AVM FRITZ!Box-Kindersicherung;c:\programme\FRITZ!Box-Kindersicherung\avmident.exe [21.08.2006 18:57 49152]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [27.09.2012 12:21 399432]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [27.09.2012 12:21 676936]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [04.05.2009 13:16 9728]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe [19.09.2012 11:29 1699168]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [27.09.2012 12:21 22856]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys [19.09.2012 10:50 10088]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.09.2012 16:58 114144]
S4 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [27.09.2012 10:13 250288]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 17:03 135664]
S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 17:03 135664]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMSWISSARMY
*NewlyCreated* - SSMDRV
*Deregistered* - MBAMSwissArmy
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-27 08:13]
.
2012-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 15:03]
.
2012-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=d4ee52700000000000000019668191a1
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Mozilla\Firefox\Profiles\llwbx5mv.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
MSConfigStartUp-AVP - c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
AddRemove-FoxTab Music Converter - c:\programme\FoxTabMusicConverter\Uninstall\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-27 13:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-789336058-117609710-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:21,92,33,21,b4,5c,cb,c9,b2,84,be,78,ae,0d,b1,79,8e,6e,23,e4,c0,ab,cb,
  04,4f,d1,bd,99,f1,f5,f9,c0,2a,15,ad,40,98,cd,51,05,81,b5,bf,c7,05,82,37,bb,\
"??"=hex:d4,ae,dd,c8,91,ca,d0,5f,bc,bb,ec,82,33,f4,a6,5c
.
[HKEY_USERS\S-1-5-21-789336058-117609710-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:dc,0b,c8,71,7b,47,93,6b,37,4f,d1,cf,19,9c,d8,30,fe,27,06,71,45,
  cc,96,09,d9,5a,b6,9d,b0,78,d2,05,86,a8,25,dc,c7,a3,3f,d3,aa,f9,86,61,ad,47,\
"rkeysecu"=hex:26,57,9c,b5,5f,6e,4e,f9,c8,d6,6a,e7,77,9f,d0,b0
.
Zeit der Fertigstellung: 2012-09-27  13:43:21
ComboFix-quarantined-files.txt  2012-09-27 11:43
.
Vor Suchlauf: 13 Verzeichnis(se), 208.172.834.816 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 212.175.220.736 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 189034A3744D699B6E1C27DE617AAD65
--- --- ---




Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.27.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Ronny :: RONALD-69010F76 [Administrator]

Schutz: Aktiviert

27.09.2012 13:49:07
mbam-log-2012-09-27 (13-49-07).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 282534
Laufzeit: 2 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Scheint alles sauber zu sein....

markusg 27.09.2012 18:14
hi
wenn du onlinebanking machst, rufe die bank an, notfall nummer falls sie zu hatt:
116 116
lasse das onlinebanking wegen zero access rootkit sperren.
da man dies nicht 100 %ig sicher los wird:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Chrom 28.09.2012 22:15
O.K., danke.

Ich werde mich da mit meinem Nachbar durcharbeiten - insbesondere, dass er sein Onlinebanking umstellt. Ich habs ihm gerade gesagt...:wtf:
Aber verrmutlich werde ich den Rechner platt machen und ihn für Ubuntu begeistern. Und dazu eine Kurzunterweisung in Internetverhalten.

Direkt noch ein paar Tipps für diesen Weg?

markusg 29.09.2012 18:16
hi
meinst du nen komplett umstieg auf ubuntu? das geht natürlich auch nur, wenn er keine games etc hatt, man kann aber prinzipiell auch unter windows sehr sicher arbeiten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131