Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Iexplore.exe automatisch im Taskmanger (https://www.trojaner-board.de/65149-iexplore-exe-automatisch-taskmanger.html)

Jan_Tenner 25.11.2008 16:20
Iexplore.exe automatisch im Taskmanger
 
Hallo vielleicht weiß jemand rat.
Habe seit neustem den Prozess IEXPLORE.exe(also ohne das ich den Internet Exploerer 7 geöffnet habe)automatisch im Task-Manager.Ist dies evtl. ein Trojaner oder ähnliches?
Habe schon so manches ausprobiert um das Problem zu lösen.

Die Hijackthis-Auswertung ist nicht sonderlich aufschlussreich für mich :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:18, on 25.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINXP\server.exe"
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,"C:\WINXP\server.exe",
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Policies\Explorer\Run: [service] C:\WINXP\server.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\S-1-5-21-484763869-2052111302-1801674531-1003\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-484763869-2052111302-1801674531-1003\..\Policies\Explorer\Run: [service] C:\WINXP\server.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15337A9-E616-4117-8EDE-F5497ACCCBAA}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

--
End of file - 4068 bytes

Vielleicht fällt irgendjemanden hier etwas auf....Gruß Markus.

Silent sharK 25.11.2008 16:25
Hi,

das passiert, wenn ein Programm via IExplorer.exe ins Internet will.
Ich kann mir auch schon denken, welches Programm das will...


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINXP\server.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Jan_Tenner 25.11.2008 16:56
Äh...weiß nicht ob ich das jetzt richtig gemacht habe...aber das kam dabei raus :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.24.3 2008.11.25 -
AntiVir 7.9.0.35 2008.11.25 TR/Agent.AKRG.2
Authentium 5.1.0.4 2008.11.25 -
Avast 4.8.1281.0 2008.11.24 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.11.25 Dropper.Generic.ACMW
BitDefender 7.2 2008.11.25 Trojan.Agent.AKRG
CAT-QuickHeal 10.00 2008.11.25 -
ClamAV 0.94.1 2008.11.25 -
DrWeb 4.44.0.09170 2008.11.25 Trojan.Inject.3730
eSafe 7.0.17.0 2008.11.25 -
eTrust-Vet 31.6.6227 2008.11.25 -
Ewido 4.0 2008.11.25 -
F-Prot 4.4.4.56 2008.11.24 -
F-Secure 8.0.14332.0 2008.11.25 -
Fortinet 3.117.0.0 2008.11.25 PossibleThreat
GData 19 2008.11.25 Trojan.Agent.AKRG
Ikarus T3.1.1.45.0 2008.11.25 VirTool.Win32.Injector.b
K7AntiVirus 7.10.532 2008.11.24 -
Kaspersky 7.0.0.125 2008.11.25 -
McAfee 5444 2008.11.24 -
McAfee+Artemis 5444 2008.11.24 Generic!Artemis
Microsoft 1.4104 2008.11.25 VirTool:Win32/CeeInject.gen!J
NOD32 3638 2008.11.25 a variant of Win32/Injector.DV
Norman 5.80.02 2008.11.25 W32/Smalltroj.IFMS
Panda 9.0.0.4 2008.11.25 -
PCTools 4.4.2.0 2008.11.25 -
Prevx1 V2 2008.11.25 -
Rising 21.05.12.00 2008.11.25 -
SecureWeb-Gateway 6.7.6 2008.11.25 Trojan.Agent.AKRG.2
Sophos 4.35.0 2008.11.25 -
Sunbelt 3.1.1823.2 2008.11.22 -
Symantec 10 2008.11.25 W32.Spybot.Worm
TheHacker 6.3.1.1.162 2008.11.25 Trojan/Agent.ahqw
TrendMicro 8.700.0.1004 2008.11.25 -
VBA32 3.12.8.9 2008.11.24 Trojan.Inject.3730
ViRobot 2008.11.25.1485 2008.11.25 -
VirusBuster 4.5.11.0 2008.11.24 -
weitere Informationen
File size: 191538 bytes
MD5...: 431d84d2101d4bfa1390a8b8640a64ca
SHA1..: 7078269f9d53409be8bf831fe7700a030bbdf77b
SHA256: 90729d5fcf5401f00ba230c05ad61446a29ebacb219e1dca6dc0a89f58100d15
SHA512: 51e8e387dec66225b51baecb0359e44b390bacec25bc01270d5f3d2d9335fb7f
fbd0526d5f5188a82735ed4a57136f29d7a5416b4cc07285fa4af34480ea2de6

ssdeep: 3072:aUzJd/bxakbwThIk8Xryl3rP+eZrCow02rb2sgflgXtTpsC4lLAtNDDA1:7
z/bxaSwTuBrypWIeowjbcfmtpsC4lsa

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40369a
timedatestamp.....: 0x48e00ec6 (Sun Sep 28 23:09:58 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2820 0x2a00 5.80 1799b70835121780ebdafbffc12c5966
.rdata 0x4000 0x470 0x600 3.89 b7db2f1dfe549fe7311d49360b010080
.data 0x5000 0x4b0 0x600 4.58 8c80f474ed4d4810e20311f316fc2190
.rsrc 0x6000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 4 imports )
> KERNEL32.dll: GetProcAddress, GetModuleHandleA, GetLastError, SetLastError, CloseHandle, FreeLibrary, GetFileSize, CreateFileA, Sleep, ExitProcess, GetStartupInfoA, LoadLibraryA, GlobalFree, GlobalAlloc, ReadFile, GetModuleFileNameA
> USER32.dll: FindWindowA
> ADVAPI32.dll: RegOpenKeyA, RegCloseKey, GetUserNameA, RegQueryValueExA
> MSVCRT.dll: _acmdln, _except_handler3, memset, strlen, strcat, strcpy, free, realloc, _exit, _XcptFilter, exit, strcmp, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp

( 0 exports )

CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=431d84d2101d4bfa1390a8b8640a64ca

Silent sharK 25.11.2008 17:18
SDFix anwenden:
  • Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
    http://img.bleepingcomputer.com/swr-...ix-install.jpg
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Danach:

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Jan_Tenner 25.11.2008 18:30
So...habe alles wie beschrieben gemacht.Die Ixplore.exe ist übrigens immer noch im Taskmanager!

Neue Hijackthis auswertung :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:13, on 25.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINXP\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-484763869-2052111302-1801674531-1003\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A15337A9-E616-4117-8EDE-F5497ACCCBAA}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

--
End of file - 3074 bytes

Und die SD Fix Auswertung :


SDFix: Version 1.240
Run by Administrator on 25.11.2008 at 18:10

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 18:15:29
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :



Files with Hidden Attributes :

Thu 2 Nov 2006 191,538 A.SHR --- "C:\WINXP\server.exe"
Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Sun 23 Nov 2008 88 ..SHR --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\B6DD7F8028.sys"
Sun 23 Nov 2008 2,516 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys"

Finished!

Und die Combofix Auswertung :

ComboFix 08-11-24.03 - Markus 2008-11-25 18:20:12.1 - NTFSx86

ausgeführt von:: c:\dokumente und einstellungen\Markus\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winxp\server.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-25 bis 2008-11-25 ))))))))))))))))))))))))))))))
.

2008-11-25 18:09 . 2008-11-25 18:09 <DIR> d-------- c:\winxp\ERUNT
2008-11-25 18:08 . 2008-10-29 12:15 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-11-25 18:08 . 2008-10-29 12:10 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-11-25 18:08 . 2008-10-29 12:10 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-11-25 18:08 . 2008-11-25 18:20 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-11-25 18:08 . 2008-10-29 12:10 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-11-25 18:08 . 2008-10-29 12:10 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-11-25 18:08 . 2008-10-29 12:10 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-11-25 18:08 . 2008-11-25 18:08 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2008-11-25 18:08 . 2008-04-14 07:25 52,992 --a------ c:\winxp\system32\drivers\i8042prt.sys
2008-11-25 17:24 . 2008-11-25 18:15 <DIR> d-------- C:\SDFix
2008-11-24 21:33 . 2008-11-24 21:33 <DIR> d-------- c:\programme\Trend Micro
2008-11-23 23:32 . 2008-11-23 23:43 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-11-23 23:32 . 2008-11-23 23:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-23 23:06 . 2008-11-23 23:06 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Favoriten
2008-11-23 23:04 . 2008-11-23 23:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\PC Tools
2008-11-23 23:04 . 2005-09-23 08:29 626,688 --a------ c:\winxp\system32\msvcr80.dll
2008-11-23 21:49 . 2008-11-23 21:49 40 --ah----- c:\winxp\system32\ivireg.ivr
2008-11-23 21:43 . 2008-11-23 21:51 2,516 --ahs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-11-23 21:43 . 2008-11-23 21:50 88 -r-hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\B6DD7F8028.sys
2008-11-23 21:41 . 2008-11-23 21:41 <DIR> d-------- c:\programme\Real
2008-11-23 21:41 . 2008-11-25 17:15 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real
2008-11-23 21:41 . 2008-11-25 17:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-23 21:40 . 2008-11-23 22:09 <DIR> d-------- c:\programme\Corel
2008-11-23 15:32 . 2008-10-10 04:52 4,379,984 --a------ c:\winxp\system32\D3DX9_40.dll
2008-11-23 15:32 . 2008-10-10 04:52 2,036,576 --a------ c:\winxp\system32\D3DCompiler_40.dll
2008-11-23 15:32 . 2008-10-27 10:04 514,384 --a------ c:\winxp\system32\XAudio2_3.dll
2008-11-23 15:32 . 2008-10-10 04:52 452,440 --a------ c:\winxp\system32\d3dx10_40.dll
2008-11-23 15:32 . 2008-10-27 10:04 235,856 --a------ c:\winxp\system32\xactengine3_3.dll
2008-11-23 15:32 . 2008-10-27 10:04 70,992 --a------ c:\winxp\system32\XAPOFX1_2.dll
2008-11-23 15:32 . 2008-10-27 10:04 23,376 --a------ c:\winxp\system32\X3DAudio1_5.dll
2008-11-20 18:54 . 2008-11-20 18:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-11-20 18:54 . 2008-11-20 18:54 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-11-18 18:14 . 2008-11-20 18:24 <DIR> d-------- C:\Games
2008-11-17 09:52 . 2008-11-17 09:55 <DIR> d-------- c:\programme\Dream Aquarium
2008-11-17 09:52 . 2006-10-09 12:00 94,208 --a------ c:\winxp\Dream Aquarium.scr
2008-11-16 10:34 . 2008-11-16 10:34 <DIR> d-------- c:\programme\VID_0E8F&PID_0003
2008-11-14 21:02 . 2008-11-14 21:02 <DIR> d-------- c:\dokumente und einstellungen\Markus\Anwendungsdaten\Yahoo!
2008-11-14 20:50 . 2008-11-14 21:03 <DIR> d-------- c:\programme\Yahoo!
2008-11-14 20:50 . 2008-11-14 20:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-11-14 08:56 . 2008-11-23 22:28 116 --a------ c:\winxp\NeroDigital.ini
2008-11-14 08:25 . 2008-11-14 08:25 <DIR> d-------- c:\programme\Nero
2008-11-14 08:25 . 2008-11-14 08:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2008-11-10 06:51 . 2008-11-10 06:51 <DIR> d-------- c:\dokumente und einstellungen\Markus\Anwendungsdaten\Ahead
2008-11-05 09:30 . 2008-11-05 09:30 <DIR> d-------- c:\dokumente und einstellungen\Markus\Anwendungsdaten\DivX
2008-11-05 06:58 . 2008-11-20 11:27 <DIR> d-------- c:\programme\DivX
2008-11-05 05:14 . 2008-11-05 05:14 <DIR> d-------- c:\winxp\system32\URTTEMP
2008-11-05 05:12 . 2008-11-05 05:12 <DIR> d-------- c:\winxp\system32\LogFiles
2008-11-04 05:34 . 2008-11-04 05:34 <DIR> d-------- C:\Program Files
2008-11-04 05:33 . 2008-11-23 22:09 <DIR> d-------- c:\programme\Gemeinsame Dateien\InterVideo
2008-11-04 05:32 . 2008-11-23 22:07 <DIR> d-------- c:\programme\InterVideo
2008-11-04 05:32 . 2008-11-04 05:32 <DIR> d-------- c:\programme\Creative
2008-11-04 05:32 . 2003-01-27 16:32 831,600 --a------ c:\winxp\system32\Ctaa1.dat
2008-11-04 05:32 . 2003-11-11 10:44 333,600 --a------ c:\winxp\system32\drivers\ctdvda2k.sys
2008-11-04 05:32 . 2003-11-11 10:43 77,824 --a------ c:\winxp\system32\ctdvda32.dll
2008-11-04 02:30 . 2008-11-04 02:30 <DIR> d-------- c:\programme\psx emulation cheater
2008-11-04 00:31 . 2008-11-04 00:31 4,096 --a------ c:\winxp\d3dx.dat
2008-11-03 03:17 . 2008-11-03 03:17 <DIR> d-------- c:\programme\EA GAMES
2008-10-30 20:47 . 2008-10-30 21:01 <DIR> d-------- c:\programme\Microsoft Xbox 360 Accessories
2008-10-30 20:47 . 2007-02-26 17:15 1,421,216 --a------ c:\winxp\system32\WdfCoInstaller01001.dll
2008-10-30 20:47 . 2007-02-26 17:15 61,984 --a------ c:\winxp\system32\drivers\xusb21.sys
2008-10-30 20:47 . 2008-10-30 20:47 0 --ah----- c:\winxp\system32\drivers\MsftWdf_Kernel_01001_Coinstaller_Critical.Wdf
2008-10-30 20:47 . 2008-10-30 20:47 0 --ah----- c:\winxp\system32\drivers\Msft_Kernel_xusb21_01001.Wdf
2008-10-30 20:29 . 2008-10-30 20:29 <DIR> d-------- c:\programme\XBox 360 Controller for Windows Software
2008-10-30 19:37 . 2008-10-30 21:06 <DIR> d-------- C:\Playstation
2008-10-30 05:20 . 2008-10-30 05:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-10-30 05:19 . 2008-10-30 05:19 505,128 --a------ c:\winxp\system32\msvcp71.dll
2008-10-30 05:19 . 2008-10-30 05:19 353,576 --a------ c:\winxp\system32\msvcr71.dll
2008-10-30 05:19 . 2008-10-30 05:19 29,480 --a------ c:\winxp\system32\msxml3a.dll
2008-10-30 05:04 . 2008-10-30 05:04 <DIR> d-------- c:\programme\Lavasoft
2008-10-30 05:04 . 2008-10-30 05:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-30 04:41 . 2008-10-30 04:41 361,600 --a------ c:\winxp\system32\drivers\TCPIP.SYS.ORIGINAL
2008-10-30 04:24 . 2008-11-25 17:02 <DIR> d-------- C:\Utorrent
2008-10-30 04:22 . 2008-10-30 04:22 <DIR> d-------- c:\programme\uTorrent
2008-10-30 04:22 . 2008-11-24 16:46 <DIR> d-------- c:\dokumente und einstellungen\Markus\Anwendungsdaten\uTorrent
2008-10-30 01:58 . 2008-10-30 02:41 16,608 --a------ c:\winxp\gdrv.sys
2008-10-30 01:14 . 2008-10-30 01:14 <DIR> d-------- c:\winxp\system32\Futuremark
2008-10-30 01:14 . 2008-10-30 01:14 <DIR> d-------- c:\programme\Futuremark
2008-10-30 01:14 . 2008-10-30 01:14 262,144 --a------ c:\winxp\system32\wrap_oal.dll
2008-10-30 01:14 . 2008-10-30 01:14 86,016 --a------ c:\winxp\system32\OpenAL32.dll
2008-10-30 01:14 . 2007-09-07 14:55 27,672 --a------ c:\winxp\system32\drivers\Entech.sys
2008-10-30 01:14 . 2007-09-07 14:55 12,744 --a------ c:\winxp\system32\drivers\Entech64.sys
2008-10-30 01:14 . 2007-09-07 14:55 6,173 --a------ c:\winxp\system32\drivers\Entech.vxd
2008-10-30 01:14 . 2001-11-19 20:05 3,972 --a------ c:\winxp\system32\drivers\PciBus.sys
2008-10-29 16:12 . 2008-10-29 16:12 107,888 --a------ c:\winxp\system32\CmdLineExt.dll
2008-10-29 15:58 . 2008-10-29 16:18 1,482 --a------ c:\winxp\system32\ealregsnapshot1.reg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-23 21:09 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-18 12:55 --------- d-----w c:\programme\Windows Media Connect 2
2008-10-30 03:41 361,600 ----a-w c:\winxp\system32\drivers\TCPIP.SYS
2008-10-29 14:58 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-10-29 12:35 --------- d-----w c:\programme\avmwlanstick
2008-10-29 12:35 --------- d-----w c:\programme\AVM_update
2008-10-29 11:57 --------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\ATI
2008-10-29 11:57 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2008-10-29 11:51 --------- d-----w c:\dokumente und einstellungen\Markus\Anwendungsdaten\TuneUp Software
2008-10-29 11:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2008-10-29 11:38 --------- d-----w c:\programme\ATI Technologies
2008-10-29 11:35 319,488 ----a-w c:\winxp\HideWin.exe
2008-10-29 11:35 --------- d-----w c:\programme\Realtek
2008-10-29 11:29 --------- d-----w c:\programme\Intel
2008-10-29 11:20 --------- d-----w c:\programme\microsoft frontpage
2008-10-29 11:18 --------- d-----w c:\programme\Online-Dienste
2008-10-29 11:17 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-10-28 22:36 823,296 ----a-w c:\winxp\system32\divx_xx0c.dll
2008-10-28 22:36 823,296 ----a-w c:\winxp\system32\divx_xx07.dll
2008-10-28 22:35 815,104 ----a-w c:\winxp\system32\divx_xx0a.dll
2008-10-28 22:35 802,816 ----a-w c:\winxp\system32\divx_xx11.dll
2008-10-28 22:35 684,032 ----a-w c:\winxp\system32\DivX.dll
2008-09-25 08:03 81,920 ----a-w c:\winxp\system32\dpl100.dll
2008-09-25 08:03 593,920 ----a-w c:\winxp\system32\dpuGUI11.dll
2008-09-25 08:03 57,344 ----a-w c:\winxp\system32\dpv11.dll
2008-09-25 08:03 53,248 ----a-w c:\winxp\system32\dpuGUI10.dll
2008-09-25 08:03 524,288 ----a-w c:\winxp\system32\DivXsm.exe
2008-09-25 08:03 344,064 ----a-w c:\winxp\system32\dpus11.dll
2008-09-25 08:03 294,912 ----a-w c:\winxp\system32\dpu11.dll
2008-09-25 08:03 294,912 ----a-w c:\winxp\system32\dpu10.dll
2008-09-25 08:03 196,608 ----a-w c:\winxp\system32\dtu100.dll
2008-09-25 08:03 161,096 ----a-w c:\winxp\system32\DivXCodecVersionChecker.exe
2008-09-24 02:18 425,984 ----a-w c:\winxp\system32\ATIDEMGX.dll
2008-09-24 02:17 311,296 ----a-w c:\winxp\system32\ati2dvag.dll
2008-09-24 02:09 10,772,480 ----a-w c:\winxp\system32\atioglxx.dll
2008-09-24 02:07 188,416 ----a-w c:\winxp\system32\atipdlxx.dll
2008-09-24 02:06 43,520 ----a-w c:\winxp\system32\ati2edxx.dll
2008-09-24 02:06 26,112 ----a-w c:\winxp\system32\Ati2mdxx.exe
2008-09-24 02:06 143,360 ----a-w c:\winxp\system32\Oemdspif.dll
2008-09-24 02:06 143,360 ----a-w c:\winxp\system32\ati2evxx.dll
2008-09-24 02:04 581,632 ----a-w c:\winxp\system32\ati2evxx.exe
2008-09-24 02:03 53,248 ----a-w c:\winxp\system32\ATIDDC.DLL
2008-09-24 01:56 307,200 ----a-w c:\winxp\system32\atiiiexx.dll
2008-09-24 01:54 4,008,864 ----a-w c:\winxp\system32\ati3duag.dll
2008-09-24 01:38 2,399,744 ----a-w c:\winxp\system32\ativvaxx.dll
2008-09-24 01:24 48,640 ----a-w c:\winxp\system32\amdpcom32.dll
2008-09-24 01:20 380,928 ----a-w c:\winxp\system32\atikvmag.dll
2008-09-24 01:19 39,424 ----a-w c:\winxp\system32\atiadlxx.dll
2008-09-24 01:18 253,952 ----a-w c:\winxp\system32\atiok3x2.dll
2008-09-24 01:18 17,408 ----a-w c:\winxp\system32\atitvo32.dll
2008-09-24 01:12 573,440 ----a-w c:\winxp\system32\ati2cqag.dll
2008-09-23 20:05 593,920 ------w c:\winxp\system32\ati2sgag.exe
2008-09-19 21:57 3,596,288 ----a-w c:\winxp\system32\qt-dx331.dll
2008-09-19 21:57 129,784 ------w c:\winxp\system32\pxafs.dll
2008-09-19 21:57 120,056 ------w c:\winxp\system32\pxcpyi64.exe
2008-09-19 21:57 118,520 ------w c:\winxp\system32\pxinsi64.exe
2008-09-19 21:55 200,704 ----a-w c:\winxp\system32\ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w c:\winxp\system32\libdivx.dll
2008-09-19 21:54 12,288 ----a-w c:\winxp\system32\DivXWMPExtType.dll
2008-09-05 01:01 69,120 ----a-w c:\winxp\system32\avmadd32.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2008-06-19 16:20 57344 c:\winxp\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
--a------ 2008-06-19 16:42 2808832 c:\winxp\alcwzrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2008-07-23 16:51 16804864 c:\winxp\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2008-06-18 18:01 77824 c:\winxp\SoundMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RemoteRegistry"=2 (0x2)
"BITS"=3 (0x3)
"xmlprov"=3 (0x3)
"wscsvc"=2 (0x2)
"WmdmPmSN"=3 (0x3)
"Schedule"=2 (0x2)
"RDSessMgr"=3 (0x3)
"Netman"=3 (0x3)
"napagent"=3 (0x3)
"IDriverT"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\winxp\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"XboxStat"="c:\programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{24e91bf0-a5b3-11dd-9ce5-fc4fc1537735}]
\Shell\AutoRun\command - E:\pushinst.exe

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{05I41M56-QW07-U20F-YX8T-VB4U6TP4UX63}]
"c:\winxp\server.exe"
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 18:20:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\winxp\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-11-25 18:21:02
ComboFix-quarantined-files.txt 2008-11-25 17:20:50

Vor Suchlauf: 16 Verzeichnis(se), 405.039.452.160 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 405,078,757,376 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

230

Silent sharK 25.11.2008 18:37
Zitat:
2008-10-30 04:22 . 2008-10-30 04:22 <DIR> d-------- c:\programme\uTorrent
Wenn du dich weiter intensiv mit Malware auseinandersetzen möchtest, dann behalte das Programm. ;)
Wenn du in Zukunft sauber bleiben willst, verabschiede dich davon.

Was ist E:\ bei dir für ein Laufwerk?
Schau auf dem nach, ob sich eine pushinst.exe darauf befindet.

Jan_Tenner 25.11.2008 19:01
Dank dir Silent shark! Iexplore.exe ist jetzt nicht mehr im Task-Manager anzutreffen.
Werde hoffen das die Kiste jetzt erstmal sauber bleibt....

Gruß Markus.

Silent sharK 25.11.2008 19:09
Freut mich :)
was ist hiermit?
Zitat:
Zitat von Silent sharK
Was ist E:\ bei dir für ein Laufwerk?
Schau auf dem nach, ob sich eine pushinst.exe darauf befindet.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131