Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Silentbanker.G gefunden (https://www.trojaner-board.de/61854-tr-silentbanker-g-gefunden.html)

clueless07 11.10.2008 15:54
TR/Silentbanker.G gefunden
 
Hallo Leute,

auf dem Rechner meines Vaters hat Avira Antivir Personal den "TR/Silentbanker.G" gefunden. Es kann die Dateien in windows/system32 (2 Dateien der Form "13213153.cpx", genaue Namen hab ich gerade nicht) zwar löschen, sie kommen aber spätestens nach einem Reboot wieder. Noch probiert habe ich bis jetzt:

Malwarebytes Anti-Malware findet auch zwei infizierte Dateien in windows\system32, die es löscht und die wiederkommen.

Ebenso Counterspy.

Auch habe ich Combofix nach der Anleitung laufen lassen, ohne Erfolg.

Also bitte ich Euch jetzt mal um Hilfe, vielleicht kann man das ganz systematisch angehen, ich weiß bloß allein nicht mehr weiter!

Danke schonmal & Gruß

Frank

cosinus 11.10.2008 16:20
Hallo,

wird mit dem Rechner Onlinebanking betrieben?
Poste bitte die Logfiles, die mit MBAM und CF erstellt wurden. Poste auch ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

clueless07 11.10.2008 16:57
Zitat:
Zitat von root24 (Beitrag 381446)
wird mit dem Rechner Onlinebanking betrieben?[/COLOR][/B]
Ja, leider. :-( Deswegen mach ich mir auch wirklich Sorgen...

O.k., ganz toll. Combofix läuft nicht mehr durch. mittendrin kommt "Nircmd.exe" - "es wurde ein Problem festgestellt" und es mußte beendet werden. Es läuft zwar bis Stufe 50 aber es wird kein log mehr angezeigt und das letzte Fenster muss ich irgendwann zwangsweise schließen.

Anti-Malware lieferte das:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1253
Windows 5.1.2600 Service Pack 3

11.10.2008 17:35:42
mbam-log-2008-10-11 (17-35-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44748
Laufzeit: 1 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\12111796131.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\121117961312.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\121117961321.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\121117961331.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\121117961351.CPX (Trojan.Agent) -> No action taken.
Und Dein Hijackthis das hier:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52, on 2008-10-11
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\F-Secure Internet Security\Common\FSLAUNCH.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Tmp\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3070612
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SBAMTray] C:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182093296453
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1D125F0-2B06-4655-AE7B-1863D2EA95CA}: NameServer = 217.237.150.51 217.237.148.22
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: Sunbelt VIPRE Antivirus Service (SBAMSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBAMSvc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 6283 bytes
Danke schonmal für Deine Mühe!

Gruß
Frank

cosinus 11.10.2008 18:14
Zitat:
Zitat von clueless07 (Beitrag 381457)
Ja, leider. :-( Deswegen mach ich mir auch wirklich Sorgen...
Ahja..dann solltet Ihr das auf keinen Fall mehr weiter machen mit dem verseuchten PC. Das Konto auf jeden Fall im Auge behalten und evtl der Bank Bescheid geben, ggf. eine Sperrung in Betracht ziehen...

Zitat:
O.k., ganz toll. Combofix läuft nicht mehr durch. mittendrin kommt "Nircmd.exe" - "es wurde ein Problem festgestellt"
Hast Du CF strikt nach Anweisung durchgeführt? Also auch Virenscanner etc. abgeschaltet VOR der Ausführung?

Zitat:
Anti-Malware lieferte das:
Du hast nur den Quickscan durchgeführt, mach noch einen Durchlauf mit dem richtigen Modus und lasse alle Funde beseitigen.

clueless07 12.10.2008 01:01
Zitat:
Zitat von root24 (Beitrag 381504)
Hast Du CF strikt nach Anweisung durchgeführt? Also auch Virenscanner etc. abgeschaltet VOR der Ausführung?
Ja, ich hab sogar alle F-Secure Prozesse im Task-Manager von Hand beendet. Daran kanns eigentlich nicht liegen.

O.k. Der erneute "Full Scan" von Anti-Malware erbrachte folgendes:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1253
Windows 5.1.2600 Service Pack 3

2008-10-12 01:57:00
mbam-log-2008-10-12 (01-57-00).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 91050
Laufzeit: 22 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\12111796131.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\121117961312.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\121117961321.CPX (Trojan.Agent) -> Quarantined and deleted successfully.

clueless07 12.10.2008 10:43
Hallo,

so, irgendwas hat sich getan...die Dateien tauchen jedenfalls nicht mehr auf. Auch hat sich ComboFix ein Update besorgt und ist endlich durchgelaufen (hab auch wieder F-Secure deinstalliert und bin zu Avira zurückgekehrt).
Hier das CF-Log:

Code:
ComboFix 08-10-11.02 - ***username*** 2008-10-12 11:36:08.8 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1671 [GMT 2:00]
ausgeführt von:: C:\Tmp\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((  Dateien erstellt von 2008-09-12 bis 2008-10-12  ))))))))))))))))))))))))))))))
.

2008-10-12 11:26 . 2008-10-12 11:26        <DIR>        d--------        C:\Programme\Avira
2008-10-12 11:26 . 2008-10-12 11:26        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-12 10:42 . 2008-10-12 10:44        <DIR>        d--------        C:\Programme\Spyware Doctor
2008-10-12 10:42 . 2008-10-12 10:42        <DIR>        d--------        C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\PC Tools
2008-10-12 10:42 . 2008-10-12 11:03        <DIR>        d-a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-12 10:42 . 2008-08-25 11:36        81,288        --a------        C:\WINDOWS\system32\drivers\iksyssec.sys
2008-10-12 10:42 . 2008-08-25 11:36        66,952        --a------        C:\WINDOWS\system32\drivers\iksysflt.sys
2008-10-12 10:42 . 2008-08-25 11:36        40,840        --a------        C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-10-12 10:42 . 2008-06-02 15:19        29,576        --a------        C:\WINDOWS\system32\drivers\kcom.sys
2008-10-11 17:30 . 2008-10-11 17:30        <DIR>        d--------        C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\F-Secure
2008-10-11 17:07 . 2008-10-11 17:24        <DIR>        d--------        C:\WINDOWS\BDOSCAN8
2008-10-11 17:00 . 2008-10-11 17:00        250        --a------        C:\WINDOWS\gmer.ini
2008-10-11 16:58 . 2008-10-12 11:19        <DIR>        d--------        C:\Programme\F-Secure Internet Security
2008-10-11 16:56 . 2008-10-11 16:57        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
2008-10-11 16:55 . 2008-10-12 11:17        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f-secure
2008-10-11 12:21 . 2008-10-11 12:22        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-10-11 12:21 . 2008-10-11 12:21        <DIR>        d--------        C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\Malwarebytes
2008-10-11 12:21 . 2008-10-11 12:21        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-11 12:21 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-11 12:21 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-10-11 11:50 . 2008-10-11 11:52        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy
2008-10-11 11:50 . 2008-10-11 12:41        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-11 11:49 . 2008-10-11 11:49        <DIR>        d--------        C:\Programme\Trend Micro
2008-10-11 11:49 . 2008-10-11 11:49        <DIR>        d--------        C:\Programme\CCleaner
2008-10-04 22:44 . 2008-10-04 22:44        <DIR>        d--h-----        C:\WINDOWS\PIF
2008-10-04 21:04 . 2008-10-04 21:04        <DIR>        d--------        C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\Windows Search
2008-10-03 22:42 . 2008-10-03 22:42        <DIR>        d--------        C:\WINDOWS\system32\GroupPolicy
2008-10-03 22:42 . 2008-10-05 08:57        <DIR>        d--------        C:\Programme\Windows Desktop Search
2008-10-03 22:42 . 2008-03-07 19:02        192,000        ---------        C:\WINDOWS\system32\dllcache\offfilt.dll
2008-10-03 22:42 . 2008-03-07 19:02        98,304        ---------        C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-10-03 22:42 . 2008-03-07 19:02        29,696        ---------        C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-10-03 14:21 . 2008-10-03 14:21        <DIR>        d--------        C:\WINDOWS\system32\de
2008-10-03 14:21 . 2008-10-03 14:21        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-10-03 14:21 . 2008-10-03 14:21        <DIR>        d--------        C:\WINDOWS\l2schemas

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 10:14        ---------        d-----w        C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\OpenOffice.org2
2008-10-11 10:14        ---------        d-----w        C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\dvdcss
2008-09-09 14:09        ---------        d-----w        C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\ATI
2008-09-09 14:09        ---------        d-----w        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-09-09 14:04        ---------        d-----w        C:\Programme\Java
2008-09-05 21:31        267,304        ------w        C:\WINDOWS\system32\dllcache\wgaLogon.dll
2008-09-05 21:30        952,360        ------w        C:\WINDOWS\system32\dllcache\WgaTray.exe
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-06-18 12:47        17,589        ----a-w        C:\Dokumente und Einstellungen\***username***\Startmenü.zip
2007-10-26 11:02        39,728        ----a-w        C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SigmatelSysTrayApp"="stsystra.exe" [2006-08-15 C:\WINDOWS\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\Default User\Startmen\Programme\Autostart\
T-Online DSL-Manager.lnk - C:\Programme\T-Online\DSL-Manager\TODslMgr.exe [2007-06-17 901120]

C:\Dokumente und Einstellungen\Default User\Startmen\Programme\Autostart\
T-Online DSL-Manager.lnk - C:\Programme\T-Online\DSL-Manager\TODslMgr.exe [2007-06-17 901120]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= 12111796131.CPX

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

S3 SBRE;SBRE;C:\WINDOWS\system32\drivers\SBREdrv.sys [ ]
S3 TODslService;T-Online DSL-Manager;C:\Programme\T-Online\DSL-Manager\TODslSvc.exe [2007-01-17 212992]
S3 TTCinergyT2;TerraTec Cinergy T² (BDA);C:\WINDOWS\system32\DRIVERS\TTCinergyT2BDA.sys [2007-07-12 29216]

*Newly Created Service* - ANTIVIRSCHEDULER
*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - AVGIO
*Newly Created Service* - AVGNTFLT
*Newly Created Service* - AVIPBB
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***username***\Anwendungsdaten\Mozilla\Firefox\Profiles\325enqzt.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-12 11:37:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 11:38:49
ComboFix-quarantined-files.txt  2008-10-12 09:38:33

Vor Suchlauf: 11 Verzeichnis(se), 298,440,548,352 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 298,424,893,440 Bytes frei

130        --- E O F ---        2008-10-03 12:24:02

clueless07 12.10.2008 13:57
Und hier auch nochmal ein aktuelles HiJackThis-Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:55:55, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sunbelt Software\CounterSpy\SBAMSvc.exe
C:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Tmp\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3070612
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SBAMTray] C:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182093296453
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1D125F0-2B06-4655-AE7B-1863D2EA95CA}: NameServer = 217.237.150.51 217.237.148.22
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sunbelt VIPRE Antivirus Service (SBAMSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBAMSvc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 5765 bytes
Ist da noch was? Kann ich sonst noch was tun?

Mats 12.10.2008 15:20
[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19