Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   a variant of Java/Exploit.CVE-2012-5076.Q trojan gefunden von ESET Onlinescanner (https://www.trojaner-board.de/128335-a-variant-of-java-exploit-cve-2012-5076-q-trojan-gefunden-eset-onlinescanner.html)

hansi9999 20.12.2012 16:47
Code:
ComboFix 12-12-20.02 - anna 20.12.2012  16:39:05.4.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.481 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\anna\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\EBLib.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\MonitorInfoTime.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\Uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.chm
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.url
c:\windows\_detmp.2
c:\windows\system32\SET7E.tmp
c:\windows\system32\SET82.tmp
c:\windows\system32\SET83.tmp
c:\windows\system32\SET8A.tmp
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-11-20 bis 2012-12-20  ))))))))))))))))))))))))))))))
.
.
2012-12-20 14:31 . 2012-11-08 18:00        6812136        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9DF64D65-18A0-4416-B1CC-E4002A4F8C98}\mpengine.dll
2012-12-20 13:41 . 2012-12-20 13:41        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2012-12-20 13:40 . 2012-12-20 13:40        143872        ----a-w-        c:\windows\system32\javacpl.cpl
2012-12-20 13:40 . 2012-12-20 13:40        93640        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll
2012-12-20 13:40 . 2012-12-20 13:40        --------        d-----w-        c:\programme\Java
2012-12-20 12:04 . 2012-11-08 18:00        6812136        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-12-20 11:11 . 2012-12-20 11:11        --------        d-----w-        c:\programme\ESET
2012-12-19 23:56 . 2012-12-19 23:56        --------        d-----w-        c:\dokumente und einstellungen\anna\Lokale Einstellungen\Anwendungsdaten\Sun
2012-12-16 14:19 . 2012-12-16 14:19        --------        d-----w-        c:\windows\system32\wbem\Repository
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-20 13:40 . 2012-07-10 15:20        859072        ----a-w-        c:\windows\system32\npDeployJava1.dll
2012-12-20 13:40 . 2010-04-19 08:40        779704        ----a-w-        c:\windows\system32\deployJava1.dll
2012-12-19 15:05 . 2012-08-31 13:11        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-19 15:05 . 2012-08-31 13:11        697272        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-11-13 11:55 . 2006-02-28 12:00        1866496        ----a-w-        c:\windows\system32\win32k.sys
2012-11-06 00:41 . 2006-02-28 12:00        290560        ----a-w-        c:\windows\system32\atmfd.dll
2012-11-02 02:02 . 2006-02-28 12:00        375296        ----a-w-        c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2006-02-28 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2006-02-28 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2006-02-28 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2006-02-28 12:00        385024        ----a-w-        c:\windows\system32\html.iec
2012-10-02 18:04 . 2006-02-28 12:00        58368        ----a-w-        c:\windows\system32\synceng.dll
2012-09-29 18:54 . 2012-05-24 13:07        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-12-04 14:17 . 2012-12-04 14:16        262112        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-01-08 06:47 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-01-08 06:47 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-09-02 13351304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-07-25 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-07-25 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-07-25 118784]
"HWSetup"="c:\programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-25 16377344]
"ACU"="c:\programme\Atheros\ACU.exe" [2007-04-16 372825]
"Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2006-10-19 237568]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-09-12 947176]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2012-10-25 162408]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-08 24064]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^anna^Startmenü^Programme^Autostart^Check for TWS Updates.lnk]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2009-01-08 06:47        24064        ----a-w-        c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung PanelMgr]
2010-06-07 10:35        618496        ----a-w-        c:\windows\Samsung\PanelMgr\SSMMgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"de_serv"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 pavboot;Panda Boot Driver;c:\windows\system32\drivers\pavboot.sys [20.10.2008 12:04 28544]
R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe [19.10.2006 13:03 233472]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [27.09.2012 11:43 399432]
R2 MtxIic;MtxIic;c:\windows\system32\drivers\MtxIicKrnlNT.sys [03.10.2005 15:55 20992]
S1 SASDIFSV;SASDIFSV;\??\c:\dokume~1\anna\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\dokume~1\anna\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]
S1 SASKUTIL;SASKUTIL;\??\c:\dokume~1\anna\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys --> c:\dokume~1\anna\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.sys [?]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [24.05.2012 14:07 676936]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24.05.2012 14:07 22856]
S3 SASENUM;SASENUM;\??\c:\dokume~1\anna\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS --> c:\dokume~1\anna\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 11325268
*NewlyCreated* - 42574620
*NewlyCreated* - MPKSL4EBD4FCD
*Deregistered* - 11325268
*Deregistered* - 42574620
*Deregistered* - MpKsl4ebd4fcd
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.oeral.be/index.php?nav=stations&stationid=55
uLocal Page =
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\anna\Anwendungsdaten\Mozilla\Firefox\Profiles\vc6ngeyo.Standard-Benutzer\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - about:home
FF - ExtSQL: 2012-12-06 15:29; {73a6fe31-595d-460b-a920-fcc0f8843232}; c:\dokumente und einstellungen\anna\Anwendungsdaten\Mozilla\Firefox\Profiles\vc6ngeyo.Standard-Benutzer\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-20 16:43
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2012-12-20  16:45:08
ComboFix-quarantined-files.txt  2012-12-20 15:45
.
Vor Suchlauf: 4 Verzeichnis(se), 49.065.762.816 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 49.043.087.360 Bytes frei
.
- - End Of File - - 2EA8561C2587E747C5CA685FF18119E8

markusg 20.12.2012 16:50
Hi

lade den CCleaner standard:
CCleaner Download - CCleaner 3.25.1872
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

hansi9999 20.12.2012 16:51
Liste der Anhänge anzeigen (Anzahl: 1)
der hat jetzt xp antispy als malware erkannt?

Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 11.5.502.135 notwendig (ja)
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 11.5.502.135 ja
Adobe Shockwave Player 11.6 Adobe Systems, Inc. 11.6.7.637 ? unbekannt
Atheros Client Utility Atheros
Atheros Driver Installation Program Atheros 5.0 unbekannt
CCleaner Piriform 3.07 ja
Compatibility Pack für 2007 Office System Microsoft Corporation 12.0.6612.1000 ja
GIMP 2.8.2 The GIMP Team 2.8.2 ja
Greenshot ja
Intel(R) Graphics Media Accelerator Driver 6.14.10.4497 ? unbekannt
Java 7 Update 10 Oracle 7.0.100 ja
Malwarebytes Anti-Malware Version 1.65.1.1000 Malwarebytes Corporation 1.65.1.1000 ja (habe ich zusammen mit essentials)
Matrox DualHead2Go Matrox Graphics Inc. 1.03.0000.0006 ja
Matrox PowerDesk-SE Matrox Graphics Inc. 11.08.0500.0006 ja
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU Microsoft Corporation 2.1.21022 ?unbekannt
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 ?unbekannt
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU Microsoft Corporation 3.1.21022 ?unbekannt
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 ?unbekannt
Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Corporation ?unbekannt
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation ?unbekannt
Microsoft Office 2000 Premium Microsoft Corporation 9.00.2816 ja
Microsoft Security Essentials Microsoft Corporation 4.1.522.0 ja
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 8.0.61001 ?unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729 ?unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 ?unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 9.0.30729.6161 ?unbekannt
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 10.0.40219 ?unbekannt
Mozilla Firefox 17.0.1 (x86 de) Mozilla 17.0.1 ja
Mozilla Maintenance Service Mozilla 17.0.1 ?unbekannt
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 4.20.9848.0 ?unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0 ?unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 ?unbekannt
MSXML 4.0 SP2 Parser and SDK Microsoft Corporation 4.20.9818.0 ?unbekannt
OpenOffice.org Installer 1.0 Sun Microsystems 1.0.9221 ?unbekannt
PDF-Viewer Tracker Software Products Ltd 2.5.206.0 ja
PDF24 Creator 4.9.0 PDF24.org ja
REALTEK GbE & FE Ethernet PCI-E NIC Driver Realtek 1.08.0000 ja
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 5.10.0.5433 ja
Skype™ 4.2 Skype Technologies S.A. 4.2.187 ja
TOSHIBA Accessibility TOSHIBA 0.49.2.1C ja
TOSHIBA ConfigFree 5.90.07 ja
TOSHIBA Hardware Setup TOSHIBA 0.49.2.1C ja
TOSHIBA PC-Diagnose-Tool TOSHIBA 3.2.3 ja
TOSHIBA Software Modem Agere Systems 2.1.77 (SM2177ALD04) ja
Wartung Samsung ML-1660 Series Samsung Electronics Co., Ltd. ja
Windows Internet Explorer 8 Microsoft Corporation 20090308.140743 ja

markusg 20.12.2012 17:10
Ja, kp warum, braucht man aber auch nicht unbedingt.
warum schreibst du bei manchen unbekannt und dann nen ?, erstelle die Liste doch einfach so, wie gefordert.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:34 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19