Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   HiJackThis / Browser Problem (https://www.trojaner-board.de/54880-hijackthis-browser-problem.html)

koaschten 28.06.2008 00:22
HiJackThis / Browser Problem
 
Ich hab ein merkwürdiges Problem seit gestern. Beim Browsen auf h**p://www.heise.de schloss sich spontan mein Mozilla Firefox (mit NoScript und AdBlock+) aber immer nur wenn ich auf die News von Kaspersky ging. h**p://www.heise.de/newsticker/Neues-Kaspersky-Tool-fuer-GPcode-Trojaner-Betroffene--/meldung/110127

Das kam mir erstmal komisch vor... also rebootet und immernoch das selbe Problem. Daraufhin IE 7.0 gestartet (benutze ich sonst NIE) und die selbe news url per copy paste rein, weil über die Newsticker Übersicht kann ich die URL kopieren aber nicht die News öffnen...und IE 7.0 ging direkt auch wieder zu. :confused:

Beim Versuch Hijackthis zu starten passierte nichts... oder besser gesagt... es ging auch immer wieder zu.

Habe dann die Systemwiederherstellung deaktiviert, im SafeMode rebootet und mit CCleaner in der neusten Version drüber um temp zu clearen und die Registry aufgeräumt sowie danach direkt im SafeMode noch Malwarebytes Anti-Malware nen Scan gemacht... der hat mir dann auch glatt ne Runde zlob entfernt... woher ich den hab, keine Ahnung.

Dann im normalen Mode wieder gestartet und wollte mit dem Kaspersky Online Scanner dann noch mal auf Nummer sicher gehen... Pustekuchen. h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan.html (online scanner) wird sowohl im Firefox als auch IE7 instant geschlossen.

h**p://housecall65.trendmicro.com funktioniert, lieferte aber kein Ergebnis.

Ich muss zugeben, zum ersten mal weiss ich in so einer Sache nicht weiter :heulen:

Wo setze ich denn da jetzt an? :(

Lucky 28.06.2008 01:07
:hallo:
Erzeuge bitte ein HijackThis Logfile und poste es hier.

koaschten 28.06.2008 02:15
Zitat:
Zitat von koaschten (Beitrag 349868)
Beim Versuch Hijackthis zu starten passierte nichts... oder besser gesagt... es ging auch immer wieder zu.
Da es scheinbar überlesen wurde, self-quote. Weder der Original Download, noch eine umbenannte Version von einem USB Stick funktioniert.

/edit DSS funktioniert nur mit "cancel" (also dem eigenen internen Scanner)

/edit2

DSS log, da HiJackThis ja nicht will....

Code:
Deckard's System Scanner v20071014.68
Run by <hier stand der username> on 2008-06-28 03:18:23
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-06-28 03:18:53
Platform: Windows XP Service Pack 3 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\BRSVC01A.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\BRSS01A.EXE
C:\Programme\WinTV\EPG Services\System\EPGService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe
C:\WINDOWS\SoundMan.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ICQ\Icq.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\fppdis2a.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Octoshape Streaming Services\<hier stand der username>\OctoshapeClient.exe
C:\Programme\Belkin\Nostromo\nost_LM.exe
C:\WINDOWS\system32\WLANSTA.exe
D:\Programme\Wowhead Client\Wowhead_Client.exe
D:\Programme\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\<hier stand der username>\Desktop\UPnPMon.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {8053AF4F-F35D-4EC6-A411-039EFB515CD8} - (no file)
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Keyboard Manager Utility] "C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe" /lang DE /H
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [CherryConfigDlg] "C:\Programme\Cherry\SmartDevice\CT_API_Config\ConfigDlg.exe" AUTOCONFIG
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe /Minimize
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\<hier stand der username>\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Loadout Manager.lnk = C:\Programme\Belkin\Nostromo\nost_LM.exe
O4 - Global Startup: Scanner Finder.lnk = ?
O4 - Global Startup: WLAN network adaptor Wireless LAN Configuration.lnk = C:\WINDOWS\system32\wlansta.exe
O4 - Global Startup: Wowhead Client.lnk = D:\Programme\Wowhead Client\Wowhead_Client.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\Icq.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\Icq.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} () - http://webserver.dyyno.com/DyynoClient/DyynoCAB.CAB
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206916856244
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O20 - Winlogon Notify: cbbcdacefdbdbb - C:\WINDOWS\system32\cbbcdacefdbdbb.dll
O20 - Winlogon Notify: yayaxyaw - C:\WINDOWS\system32\
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\BRSVC01A.EXE
O23 - Service: BUQXKA - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\BUQXKA.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\Programme\WinTV\EPG Services\System\EPGService.exe
O23 - Service: GABWCUZHVT - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\GABWCUZHVT.exe
O23 - Service: ICZHIM - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\ICZHIM.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: JS - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\JS.exe
O23 - Service: JSLA - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\JSLA.exe
O23 - Service: LNAIQEAVC - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\LNAIQEAVC.exe
O23 - Service: NS - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\NS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: PFXQHB - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\PFXQHB.exe
O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe service
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: UVRPB - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\UVRPB.exe
O23 - Service: VBCHDHHB - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\VBCHDHHB.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - D:\Programme\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: WIBHRCF - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\WIBHRCF.exe
O23 - Service: XCAEPUB - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\XCAEPUB.exe


--
End of file - 11070 bytes

-- Files created between 2008-05-28 and 2008-06-28 -----------------------------

2008-06-28 01:50:15      3480 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-28 00:51:01        0 dr-h----- C:\Dokumente und Einstellungen\<hier stand der username>\Recent
2008-06-28 00:49:30        0 d-------- C:\Programme\CCleaner
2008-06-27 21:14:01        0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-27 20:54:43        0 d-------- C:\Programme\Lavasoft
2008-06-27 20:54:15        0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-27 16:13:21        0 d-------- C:\WINDOWS\ERUNT
2008-06-21 20:25:42        0 d-------- C:\Programme\GPS Information
2008-06-12 09:29:08        0 d-------- C:\Dokumente und Einstellungen\<hier stand der username>\.housecall6.6
2008-06-10 00:05:16        0 d-------- C:\Programme\HmelyoffLabs
2008-06-04 14:01:15        0 d-------- C:\Program Files
2008-06-04 13:12:14        0 d-------- C:\Programme\uTorrent
2008-06-04 05:02:20        0 d-------- C:\Programme\SUPERAntiSpyware
2008-06-04 04:51:45        0 d-------- C:\WINDOWS\system32\3939
2008-06-04 04:47:43      3424 --ahs---- C:\WINDOWS\system32\RYIilUvw.ini2
2008-06-04 03:38:44        0 d-------- C:\WINDOWS\pss
2008-06-03 18:55:42    28672 --a------ C:\WINDOWS\system32\hcwsched.dll <Not Verified; Hauppauge Computer Works; HCW Scheduler>
2008-06-03 18:55:12    30720 --a------ C:\WINDOWS\system32\hcwWinTVCI.dll <Not Verified; Hauppauge Computer Works; WinTVCI Dynamic Link Library>
2008-06-03 18:55:12    36921 --a------ C:\WINDOWS\system32\hcwutl32.dll <Not Verified; Hauppauge Computer Works; WinTV>
2008-06-03 18:55:12    770121 -----n--- C:\WINDOWS\system32\hcwtvwnd.dll <Not Verified; Hauppauge Computer Works; HCWTVWND>
2008-06-03 18:55:12    163840 --a------ C:\WINDOWS\system32\hcwChDB.dll <Not Verified; ; HcwChDB Dynamic Link Library>
2008-06-03 18:55:12    90190 --a------ C:\WINDOWS\system32\Bt848WST.DLL <Not Verified; Hauppauge Computer Works; WinTV>
2008-06-03 18:55:03    106559 --a------ C:\WINDOWS\system32\hcwTVDlg.dll <Not Verified; Hauppauge Computer Works; WinTV>
2008-06-03 18:55:03    282680 -----n--- C:\WINDOWS\system32\hcwpnp32.dll <Not Verified; Hauppauge Computer Works; WinTV>
2008-06-03 18:55:03    106552 --a------ C:\WINDOWS\system32\hcwi2c32.dll <Not Verified; Hauppauge Computer Works, Inc.; WinTV>
2008-06-03 18:55:03    11264 --a------ C:\WINDOWS\system32\hcwhook.dll <Not Verified; Hauppauge Computer Works; HCW hcwhook>
2008-06-03 18:55:03    213050 --a------ C:\WINDOWS\system32\hcwChan.dll <Not Verified; Hauppauge Computer Works; WinTV>
2008-06-03 18:54:48    393216 --a------ C:\WINDOWS\system32\hcwsnbd9.dll <Not Verified; Snowbound Software Corporation (www.Snowbnd.com); SnowBound RasterMaster for NT/W2000>
2008-06-03 18:23:23        0 d-------- C:\Hauppauge


-- Find3M Report ---------------------------------------------------------------

2008-06-27 21:14:02        0 d-------- C:\Dokumente und Einstellungen\<hier stand der username>\Anwendungsdaten\Malwarebytes
2008-06-27 20:54:15        0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-27 18:58:26        0 d-------- C:\Programme\ICQ
2008-06-27 16:01:21        0 d-------- C:\Programme\mIRC
2008-06-27 15:45:58        0 d-------- C:\Programme\StarMoney 4.0 S-Edition
2008-06-27 13:26:12        0 d-------- C:\Programme\Octoshape Streaming Services
2008-06-25 14:33:06        0 d-------- C:\Dokumente und Einstellungen\<hier stand der username>\Anwendungsdaten\uTorrent
2008-06-25 13:14:29        0 d-------- C:\Programme\Network Stumbler
2008-06-21 20:25:42        0 d--h----- C:\Programme\InstallShield Installation Information
2008-06-10 00:09:26        0 d-------- C:\Programme\WinTV
2008-06-10 00:05:34        0 d-------- C:\Dokumente und Einstellungen\<hier stand der username>\Anwendungsdaten\Adobe
2008-06-07 21:08:02        0 d-------- C:\Dokumente und Einstellungen\<hier stand der username>\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-03 22:32:35        0 d-------- C:\Programme\DivX
2008-06-03 22:24:12        0 d-------- C:\Programme\Dyyno
2008-06-03 18:56:36        0 d-------- C:\Programme\vtplus
2008-05-12 12:49:42    452176 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-12 12:49:42    81876 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-10 16:27:38        0 d-------- C:\Dokumente und Einstellungen\<hier stand der username>\Anwendungsdaten\Mozilla
2008-04-30 13:13:03        0 d-------- C:\Programme\Messenger
2008-04-30 13:12:49        0 d-------- C:\Programme\Movie Maker
2008-04-30 13:10:31        0 d-------- C:\Programme\Windows NT
2008-04-28 11:36:15        0 d-------- C:\Dokumente und Einstellungen\<hier stand der username>\Anwendungsdaten\Wireshark
2008-04-28 11:35:25        0 d-------- C:\Programme\WinPcap


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8053AF4F-F35D-4EC6-A411-039EFB515CD8}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [19.05.2006 14:51]
"Keyboard Manager Utility"="C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe" [22.06.2005 01:47]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [07.01.2005 17:07 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [21.07.2006 16:14 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [04.05.2006 16:26 C:\WINDOWS\alcwzrd.exe]
"Alcmtr"="ALCMTR.EXE" [03.05.2005 18:43 C:\WINDOWS\Alcmtr.exe]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [14.10.2003 18:36]
"Logitech Utility"="Logi_MwX.Exe" [17.12.2003 09:50 C:\WINDOWS\LOGI_MWX.EXE]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [11.05.2007 02:08]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [06.04.2007 17:12]
"nwiz"="nwiz.exe" [06.04.2007 17:12 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [06.04.2007 17:12]
"pdfFactory Pro Dispatcher v2"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" [06.04.2006 09:40]
"CherryConfigDlg"="C:\Programme\Cherry\SmartDevice\CT_API_Config\ConfigDlg.exe" [07.09.2006 10:51]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 05:25]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"openvpn-gui"="C:\Programme\OpenVPN\bin\openvpn-gui.exe" [18.08.2005 10:55]
"EPGServiceTool"="C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe" [17.04.2008 18:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="C:\Programme\TomTom HOME 2\HOMERunner.exe" [06.05.2008 10:42]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]
"Octoshape Streaming Services"="C:\Programme\Octoshape Streaming Services\<hier stand der username>\OctoshapeClient.exe" [22.05.2008 15:59]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
AutoStart IR.lnk - C:\Programme\WinTV\Ir.exe [03.06.2008 18:55:52]
Loadout Manager.lnk - C:\Programme\Belkin\Nostromo\nost_LM.exe [06.04.2004 15:49:02]
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [18.06.2007 09:04:57]
WLAN network adaptor Wireless LAN Configuration.lnk - C:\WINDOWS\system32\wlansta.exe [24.07.2007 21:00:48]
Wowhead Client.lnk - D:\Programme\Wowhead Client\Wowhead_Client.exe [14.04.2008 13:08:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbbcdacefdbdbb]
C:\WINDOWS\system32\cbbcdacefdbdbb.dll 01.05.2005 08:24 113169 C:\WINDOWS\system32\cbbcdacefdbdbb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayaxyaw]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\wvUliIYR

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders        msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs        eaphost
dot3svc        dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
napagent
hkmsvc

*Newly Created Service* - TMCOMM



-- End of Deckard's System Scanner: finished at 2008-06-28 03:20:46 ------------
/edit3 haha, ich kann auf der "infizierten" Maschine nichtmal diesen thread angucken ohne das sich der browser instant schliesst, der scheint auf "Kaspersky" anzuspringen oder so...

/edit4
Beim Durchgucken des Logs sind mir diese Einträge aufgefallen, weil sie schon nicht mehr funktionieren können seit ich das erste mal im Safe Mode CCleaner laufen lassen hab und das natürlich den Inhalt des Temp gelöscht hat. Eine kurze visuelle Kontrolle hat dies Bestätigt. Keine der gelisteten Dateien existiert an besagter Stelle.
Code:
O23 - Service: BUQXKA - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\BUQXKA.exe
O23 - Service: GABWCUZHVT - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\GABWCUZHVT.exe
O23 - Service: ICZHIM - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\ICZHIM.exe
O23 - Service: JS - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\JS.exe
O23 - Service: JSLA - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\JSLA.exe
O23 - Service: LNAIQEAVC - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\LNAIQEAVC.exe
O23 - Service: NS - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\NS.exe
O23 - Service: PFXQHB - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\PFXQHB.exe
O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe service
O23 - Service: UVRPB - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\UVRPB.exe
O23 - Service: VBCHDHHB - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\VBCHDHHB.exe
O23 - Service: WIBHRCF - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\WIBHRCF.exe
O23 - Service: XCAEPUB - Unknown owner - C:\DOKUME~1\<hier stand der username>\LOKALE~1\Temp\XCAEPUB.exe

Lucky 28.06.2008 10:15
Einzig sinnvolle Vorgehensweise: Neuaufsetzen und System absichern!

koaschten 28.06.2008 13:17
Code:
O20 - Winlogon Notify: cbbcdacefdbdbb - C:\WINDOWS\system32\cbbcdacefdbdbb.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbbcdacefdbdbb]
C:\WINDOWS\system32\cbbcdacefdbdbb.dll 01.05.2005 08:24 113169 C:\WINDOWS\system32\cbbcdacefdbdbb.dll
Hmm SuperAntiSpyware hat noch nen Trojan.Unclassified/Mailer-Gen dadrin gefunden. Jetzt funktioniert alles wieder "normal".

Da ich eeh nichts kritisches auf der Maschine mache ausser surfen etc. (nichtmal webmail oder so) werd ich mir das wohl noch ein bisschen angucken. Aber atm siehts ganz gut aus. :daumenhoch:

Lucky 28.06.2008 13:22
Dein System ich nach den Logfiles oben massiv verseucht: Neuaufsetzen und nicht die Vogel-Strauß-Variante anwenden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19