Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan.GameThief, Worm.Magania und Spyware.OnlineGames

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 04.11.2009, 21:15   #1
Aelda
 
Trojan.GameThief, Worm.Magania und Spyware.OnlineGames - Standard

Trojan.GameThief, Worm.Magania und Spyware.OnlineGames



Nabend zusammen,

wie schon im Titel beschrieben, habe ich große Probleme mit Trojanern und Keyloggern - bin kein Experte, aber irgendwie sowas ist das - die aufjedenfall meine Passwörter ausspähen.
Um meinen PC wieder "Vierenfrei" zu bekommen bitte ich um Hilfe und -falls möglich- ein paar Tipps, wie ich mich gegen sowas schützen kann.


1. Malwarebytes Log

Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3099
Windows 6.0.6002 Service Pack 2

04.11.2009 20:54:00
mbam-log-2009-11-04 (20-53-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 262944
Laufzeit: 1 hour(s), 35 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Users\***\AppData\Local\Temp\cvasds1.dll (Spyware.OnlineGames) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\86.exe (Trojan.GameThief) -> No action taken.
C:\9jyhdim8.exe (Spyware.OnlineGames) -> No action taken.
C:\o8tf6l.exe (Spyware.OnlineGames) -> No action taken.
C:\o9bxu.exe (Worm.Magania) -> No action taken.
C:\rg9g9bgq.exe (Spyware.OnlineGames) -> No action taken.
C:\s3ek.exe (Spyware.OnlineGames) -> No action taken.
C:\t8s2x.exe (Worm.Magania) -> No action taken.
D:\g8k.exe (Worm.Magania) -> No action taken.
D:\o9bxu.exe (Worm.Magania) -> No action taken.
D:\86.exe (Trojan.GameThief) -> No action taken.
D:\o8tf6l.exe (Spyware.OnlineGames) -> No action taken.
D:\rg9g9bgq.exe (Spyware.OnlineGames) -> No action taken.
D:\9jyhdim8.exe (Spyware.OnlineGames) -> No action taken.
D:\s3ek.exe (Spyware.OnlineGames) -> No action taken.
D:\t8s2x.exe (Worm.Magania) -> No action taken.
D:\rx.exe (Worm.Magania) -> No action taken.
C:\Users\***\AppData\Local\Temp\cvasds0.dll (Spyware.OnlineGames) -> No action taken.
C:\Users\***\AppData\Local\Temp\cvasds1.dll (Spyware.OnlineGames) -> No action taken.
C:\Users\***\AppData\Local\Temp\herss.exe (Spyware.OnlineGames) -> No action taken.

2. info.txt logfile of random's system information tool 1.06 2009-11-04 20:55:28
Zitat:


======Uninstall list======

-->"C:\Program Files\InstallShield Installation Information\{A644254B-92F6-4970-8635-AB0775371E72}\setup.exe" --u:{A644254B-92F6-4970-8635-AB0775371E72}
-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{87616DD3-61A7-46FB-8AE3-927D5BC4D268}\setup.exe" -l0x7
3531-W-D-->MsiExec.exe /X{BD1587F7-B8D0-4111-8F1F-3327628AB02F}
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
Agere Systems HDA Modem-->agrsmdel
Ask Toolbar-->MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
BrettspielWelt-->"C:\Users\***\AppData\Roaming\BSW\uninstall.exe"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Corel MediaOne-->MsiExec.exe /I{A062A15F-9CAC-4B88-98DF-87628A0BD721}
Corel Paint Shop Pro Photo X2-->MsiExec.exe /X{64E72FB1-2343-4977-B4A8-262CD53D0BD3}
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
eBay Icon-->C:\Users\***\AppData\Roaming\Desktopicon\uninst.exe
Free Audio CD Burner version 1.2-->"C:\Program Files\DVDVideoSoft\Free Audio CD Burner\unins000.exe"
Free YouTube to MP3 Converter version 3.2-->"C:\Program Files\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe"
Freez FLV to MP3 Converter-->"C:\Program Files\Smallvideosoft\Freez FLV to MP3 Converter\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Graphics Media Accelerator Driver-->C:\Windows\system32\igxpun.exe -uninstall
Intel(R) Matrix Storage Manager-->C:\Windows\System32\Imsmudlg.exe
InterVideo WinDVD 8-->C:\Program Files\InstallShield Installation Information\{20471B27-D702-4FE8-8DEC-0702CC8C0A85}\setup.exe -runfromtemp
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Launch Manager V1.4.9-->C:\Program Files\InstallShield Installation Information\{D0846526-66DD-4DC9-A02C-98F9A2806812}\setup.exe -runfromtemp -l0x0007 -removeonly
Letstrade-->MsiExec.exe /X{E0091C29-DEE8-4B24-BF65-8C35B5940D77}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Medion Media Center 0-->C:\Program Files\InstallShield Installation Information\{23CE4550-F67C-4114-88DF-FE923BC13E7F}\setup.exe -runfromtemp -l0x0007 -removeonly
MEDIONbox-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{27FDF949-69CE-435A-8372-339F72336AC5}\setup.exe" -l0x7 -removeonly
Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme-->MsiExec.exe /X{90120000-00B2-0407-0000-0000000FF1CE}
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Mozilla Firefox (3.0.14)-->C:\Users\***\Firefox\uninstall\helper.exe
Mozilla Firefox (3.5.4)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 8 Essentials-->MsiExec.exe /X{47948554-90C6-4AAC-8CFA-D23CE11C1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
PokerStars.net-->"C:\Program Files\PokerStars\PokerStarsUninstall.exe" /u:PokerStars.net
Ralink Wireless LAN-->C:\Program Files\InstallShield Installation Information\{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}\setup.exe -runfromtemp -l0x0009 -removeonly
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Realtek USB 2.0 Card Reader-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DC24971E-1946-445D-8A82-CE685433FA7D}\setup.exe" -l0x9 -removeonly
Samsung Master-->C:\Program Files\InstallShield Installation Information\{AEC0CEBC-0FC7-4716-8222-1C4A742719B1}\Setup.exe -runfromtemp -l0x0007 -removeonly
Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Spiel Des Lebens-->C:\Windows\unin0407.exe -f"C:\Program Files\Hasbro Interactive\Spiel Des Lebens\DeIsL1.isu" -c"C:\Program Files\Hasbro Interactive\Spiel Des Lebens\_ISREG32.DLL"
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
Ulead DVD MovieFactory 5-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FF164702-AF8B-4F2F-8038-74A4C536866B}\setup.exe" -l0x7
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Outlook 2007 Junk Email Filter (KB974810)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {C05FBAD5-A211-4E86-BB51-7E07B80C9233}
Update für Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF}
Update für Microsoft Office Outlook 2007 Help (KB963677)-->msiexec /package {90120000-001A-0407-0000-0000000FF1CE} /uninstall {F6828576-6F79-470D-AB50-69D1BBADBD30}
Update für Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {EA160DA3-E9B5-4D03-A518-21D306665B96}
Update für Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {38472199-D7B6-4833-A949-10E4EE6365A1}
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live Fotogalerie-->MsiExec.exe /X{A1D08B90-AE1A-4885-AC29-731496FD397E}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
WinRAR-->C:\Program Files\Winrar\uninstall.exe
WISO Mein Geld 2008 Professional-->MsiExec.exe /I{D8D22773-14BF-4178-A683-3DBA515C2A26}
World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\World of Warcraft\Uninstall.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: ***-PC
Event Code: 7036
Message: Dienst "TPM-Basisdienste" befindet sich jetzt im Status "Beendet".
Record Number: 79639
Source Name: Service Control Manager
Time Written: 20090806102441.000000-000
Event Type: Informationen
User:

Computer Name: ***-PC
Event Code: 7036
Message: Dienst "KtmRm für Distributed Transaction Coordinator" befindet sich jetzt im Status "Ausgeführt".
Record Number: 79638
Source Name: Service Control Manager
Time Written: 20090806102441.000000-000
Event Type: Informationen
User:

Computer Name: ***-PC
Event Code: 7036
Message: Dienst "SSDP-Suche" befindet sich jetzt im Status "Ausgeführt".
Record Number: 79637
Source Name: Service Control Manager
Time Written: 20090806102441.000000-000
Event Type: Informationen
User:

Computer Name: ***-PC
Event Code: 7036
Message: Dienst "Startprogramm für Windows Media Center" befindet sich jetzt im Status "Ausgeführt".
Record Number: 79636
Source Name: Service Control Manager
Time Written: 20090806102441.000000-000
Event Type: Informationen
User:

Computer Name: ***-PC
Event Code: 7036
Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 79635
Source Name: Service Control Manager
Time Written: 20090806102441.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: Computername
Event Code: 105
Message: The service was started.
Record Number: 5
Source Name: PLFlash DeviceIoControl Service
Time Written: 20080809101525.000000-000
Event Type: Informationen
User:

Computer Name: Computername
Event Code: 0
Message:
Record Number: 4
Source Name: IviRegMgr
Time Written: 20080809101525.000000-000
Event Type: Informationen
User:

Computer Name: Computername
Event Code: 4625
Message: Das EventSystem-Subsystem unterdrückt duplizierte Ereignisprotokolleinträge für eine Dauer von 86400 Sekunden. Dieses Zeitlimit kann durch den REG_DWORD-Wert SuppressDuplicateDuration unter folgendem Registrierungsschlüssel gesteuert werden: HKLM\Software\Microsoft\EventSystem\EventLog.
Record Number: 3
Source Name: Microsoft-Windows-EventSystem
Time Written: 20080809101522.000000-000
Event Type: Informationen
User:

Computer Name: WIN-6S0GIBMODH5
Event Code: 900
Message: Der Softwarelizenzierungsdienst wird gestartet.

Record Number: 2
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20080809101521.000000-000
Event Type: Informationen
User:

Computer Name: WIN-6S0GIBMODH5
Event Code: 1531
Message: Der Benutzerprofildienst wurde erfolgreich gestartet.


Record Number: 1
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20080809101521.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: ***-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: ***-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Anmeldetyp: 5

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x2a0
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 7187
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081021130204.831711-000
Event Type: Überwachung erfolgreich
User:

Computer Name: ***-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: ***-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0x2a0
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Netzwerkadresse: -
Port: -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 7186
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081021130204.831711-000
Event Type: Überwachung erfolgreich
User:

Computer Name: ***-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7

Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 7185
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081021130204.769310-000
Event Type: Überwachung erfolgreich
User:

Computer Name: ***-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: ***-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Anmeldetyp: 5

Alt 04.11.2009, 21:17   #2
Aelda
 
Trojan.GameThief, Worm.Magania und Spyware.OnlineGames - Standard

Trojan.GameThief, Worm.Magania und Spyware.OnlineGames



Zitat:
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x2a0
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 7184
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081021130204.769310-000
Event Type: Überwachung erfolgreich
User:

Computer Name: ***-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: ***-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0x2a0
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Netzwerkadresse: -
Port: -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 7183
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081021130204.769310-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\Ulead Systems\MPEG;C:\Program Files\Common Files\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------

3. Logfile of random's system information tool 1.06 (written by random/random)

Zitat:
Run by *** at 2009-11-04 20:55:24
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 126 GB (59%) free of 212 GB
Total RAM: 3062 MB (51% free)

Logfile of Trend Micro Hijack This v2.0.2
Scan saved at 20:55:27, on 04.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\***\Downloads\RSIT.exe
C:\Program Files\trend micro\***.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Mal warebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://h**p://rover.ebay.com/rover/1...276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://h**p://rover.ebay.com/rover/1...276-17534-25/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://h**p://rover.ebay.com/rover/1...276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://h**p://rover.ebay.com/rover/1...276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

--
End of file - 7508 bytes

======Scheduled tasks folder======

C:\Windows\tasks\User_Feed_Synchronization-{24EB5CFA-C2BB-473B-B98B-21EAF171C2E5}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
Ask Toolbar - C:\Program Files\Ask.com\GenericAskToolbar.dll [2009-06-16 1144712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D4027C7F-154A-4066-A1AD-4243D8127440} - Ask Toolbar - C:\Program Files\Ask.com\GenericAskToolbar.dll [2009-06-16 1144712]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"IAAnotif"=C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe [2007-10-03 178712]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-04-01 6025216]
"SynTPStart"=C:\Program Files\Synaptics\SynTP\SynTPStart.exe [2007-08-31 102400]
"LaunchAp"=C:\Program Files\Launch Manager\LaunchAp.exe [2007-09-01 32768]
"HotkeyApp"=C:\Program Files\Launch Manager\HotkeyApp.exe [2007-09-06 188416]
"LMgrOSD"=C:\Program Files\Launch Manager\OSD.exe [2006-12-26 180224]
"Wbutton"=C:\Program Files\Launch Manager\Wbutton.exe [2007-09-07 86016]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"GrooveMonitor"=C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-26 31016]
"IgfxTray"=C:\Windows\system32\igfxtray.exe [2009-01-09 150040]
"HotKeysCmds"=C:\Windows\system32\hkcmd.exe [2009-01-09 178712]
"Persistence"=C:\Windows\system32\igfxpers.exe [2009-01-09 154136]
" Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe [2009-09-10 420176]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1233920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\Windows\system32\igfxdev.dll [2008-12-23 221184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1d7a6567-6017-11de-9545-000ae4cd60f0}]
shell\AutoRun\command - G:\t8s2x.exe
shell\open\command - G:\t8s2x.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2e77557-3994-11de-b3b1-000ae4cd60f0}]
shell\AutoRun\command - G:\xlk9.com
shell\explore\command - G:\xlk9.com
shell\open\command - G:\xlk9.com


======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-11-04 20:55:24 ----D---- C:\rsit
2009-11-04 19:55:04 ----D---- C:\Program Files\trend micro
2009-11-04 19:01:11 ----D---- C:\Users\***\AppData\Roaming\Malwarebytes
2009-11-04 19:01:06 ----D---- C:\ProgramData\Malwarebytes
2009-11-04 19:01:06 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-11-04 17:27:25 ----A---- C:\Windows\system32\wups2.dll
2009-11-04 17:27:25 ----A---- C:\Windows\system32\wucltux.dll
2009-11-04 17:27:25 ----A---- C:\Windows\system32\wuaueng.dll
2009-11-04 17:27:25 ----A---- C:\Windows\system32\wuauclt.exe
2009-11-04 17:26:57 ----A---- C:\Windows\system32\wuwebv.dll
2009-11-04 17:26:57 ----A---- C:\Windows\system32\wuapp.exe
2009-11-04 17:25:05 ----RSH---- C:\srgo.exe
2009-11-03 19:05:02 ----D---- C:\Program Files\PokerStars
2009-11-03 14:01:02 ----D---- C:\Users\***\AppData\Roaming\Ventrilo
2009-11-03 13:59:02 ----D---- C:\Program Files\Ventrilo
2009-11-03 13:59:00 ----A---- C:\Windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
2009-11-03 13:57:45 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
2009-11-03 13:55:38 ----A---- C:\Windows\system32\mshtml.dll
2009-10-27 20:22:11 ----A---- C:\Windows\system32\wmp.dll
2009-10-27 20:22:09 ----A---- C:\Windows\system32\wmploc.DLL
2009-10-27 20:22:09 ----A---- C:\Windows\system32\unregmp2.exe
2009-10-25 22:42:04 ----D---- C:\Program Files\Ask.com
2009-10-25 22:41:59 ----D---- C:\Users\***\AppData\Roaming\Desktopicon
2009-10-25 22:41:48 ----D---- C:\Program Files\DVDVideoSoft
2009-10-25 22:41:48 ----D---- C:\Program Files\Common Files\DVDVideoSoft
2009-10-25 19:49:15 ----D---- C:\Program Files\WinampDeutsch
2009-10-23 22:40:26 ----D---- C:\Users\***\AppData\Roaming\PeerNetworking
2009-10-23 13:01:21 ----D---- C:\Users\***\AppData\Roaming\teamspeak2
2009-10-23 13:01:07 ----D---- C:\Program Files\Teamspeak2_RC2
2009-10-15 17:23:44 ----A---- C:\Windows\system32\igfxext.exe
2009-10-15 17:23:44 ----A---- C:\Windows\system32\igfxcfg.exe
2009-10-15 17:23:43 ----A---- C:\Windows\system32\oemdspif.dll
2009-10-15 17:23:43 ----A---- C:\Windows\system32\igfxexps.dll
2009-10-15 17:23:43 ----A---- C:\Windows\system32\igfxdo.dll
2009-10-15 17:23:43 ----A---- C:\Windows\system32\igfxCoIn_v1624.dll
2009-10-15 17:23:43 ----A---- C:\Windows\system32\igdumdx32.dll
2009-10-15 17:23:42 ----A---- C:\Windows\system32\igd10umd32.dll
2009-10-15 17:23:42 ----A---- C:\Windows\system32\ig4icd32.dll
2009-10-15 17:23:42 ----A---- C:\Windows\system32\ig4dev32.dll
2009-10-15 17:23:27 ----D---- C:\Users\***\AppData\Roaming\WinRAR
2009-10-15 17:18:32 ----D---- C:\Users\***\AppData\Roaming\DivX
2009-10-14 21:21:18 ----D---- C:\ProgramData\Blizzard Entertainment
2009-10-14 15:59:29 ----D---- C:\ProgramData\Blizzard
2009-10-14 13:21:16 ----D---- C:\Program Files\Common Files\SWF Studio
2009-10-14 13:21:15 ----SHD---- C:\Users\***\AppData\Roaming\.#
2009-10-14 01:17:58 ----A---- C:\Windows\system32\MRT.INI
2009-10-13 22:12:00 ----A---- C:\Windows\system32\ieframe.dll
2009-10-13 22:11:59 ----A---- C:\Windows\system32\wininet.dll
2009-10-13 22:11:59 ----A---- C:\Windows\system32\urlmon.dll
2009-10-13 22:11:59 ----A---- C:\Windows\system32\occache.dll
2009-10-13 22:11:59 ----A---- C:\Windows\system32\msfeeds.dll
2009-10-13 22:11:59 ----A---- C:\Windows\system32\iertutil.dll
2009-10-13 22:11:59 ----A---- C:\Windows\system32\iedkcs32.dll
2009-10-13 22:11:58 ----A---- C:\Windows\system32\msfeedssync.exe
2009-10-13 22:11:58 ----A---- C:\Windows\system32\msfeedsbs.dll
2009-10-13 22:11:58 ----A---- C:\Windows\system32\jsproxy.dll
2009-10-13 22:11:58 ----A---- C:\Windows\system32\ieUnatt.exe
2009-10-13 22:11:58 ----A---- C:\Windows\system32\ieui.dll
2009-10-13 22:11:58 ----A---- C:\Windows\system32\iesysprep.dll
2009-10-13 22:11:58 ----A---- C:\Windows\system32\iesetup.dll
2009-10-13 22:11:58 ----A---- C:\Windows\system32\iernonce.dll
2009-10-13 22:11:58 ----A---- C:\Windows\system32\iepeers.dll
2009-10-13 22:11:58 ----A---- C:\Windows\system32\ie4uinit.exe
2009-10-13 22:11:53 ----A---- C:\Windows\system32\msv1_0.dll
2009-10-13 22:11:49 ----A---- C:\Windows\system32\ntoskrnl.exe
2009-10-13 22:11:49 ----A---- C:\Windows\system32\ntkrnlpa.exe
2009-10-13 22:11:47 ----A---- C:\Windows\system32\WMSPDMOD.DLL
2009-10-13 22:11:35 ----A---- C:\Windows\system32\msasn1.dll
2009-10-09 20:08:26 ----D---- C:\ProgramData\ICQ
2009-10-09 07:07:29 ----D---- C:\Program Files\Microsoft Visual Studio
2009-10-09 07:07:29 ----D---- C:\Program Files\Common Files\DESIGNER
2009-10-09 07:06:57 ----D---- C:\Program Files\Microsoft.NET
2009-10-09 07:03:19 ----D---- C:\Program Files\Microsoft Visual Studio 8
2009-10-09 07:01:54 ----RHD---- C:\MSOCache
2009-10-05 20:20:56 ----D---- C:\Program Files\Smallvideosoft
2009-10-05 20:20:56 ----A---- C:\Windows\system32\mp3Media2.dll

======List of files/folders modified in the last 1 months======

2009-11-04 20:55:26 ----D---- C:\Windows\Temp
2009-11-04 20:54:11 ----D---- C:\Windows\Prefetch
2009-11-04 19:55:04 ----RD---- C:\Program Files
2009-11-04 19:20:56 ----D---- C:\Windows
2009-11-04 19:11:30 ----D---- C:\Program Files\Mozilla Firefox
2009-11-04 19:02:26 ----HD---- C:\Windows\system32\GroupPolicy
2009-11-04 19:02:26 ----HD---- C:\ProgramData
2009-11-04 19:01:08 ----D---- C:\Windows\system32\drivers
2009-11-04 17:41:37 ----D---- C:\Windows\rescache
2009-11-04 17:28:53 ----D---- C:\Windows\System32
2009-11-04 17:28:53 ----D---- C:\Windows\inf
2009-11-04 17:28:53 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-11-04 17:28:12 ----D---- C:\Windows\winsxs
2009-11-04 17:28:06 ----D---- C:\Windows\system32\de-DE
2009-11-04 17:27:49 ----D---- C:\Windows\system32\catroot
2009-11-04 17:26:55 ----SHD---- C:\System Volume Information
2009-11-04 17:07:12 ----D---- C:\Windows\system32\catroot2
2009-11-03 14:02:09 ----SD---- C:\Users\***\AppData\Roaming\Microsoft
2009-11-03 13:59:05 ----SHD---- C:\Windows\Installer
2009-11-03 13:57:45 ----D---- C:\Program Files\Common Files
2009-10-31 00:42:53 ----A---- C:\Windows\NeroDigital.ini
2009-10-28 18:06:25 ----D---- C:\Program Files\Internet Explorer
2009-10-28 18:06:13 ----D---- C:\Program Files\Windows Media Player
2009-10-26 18:25:07 ----D---- C:\Program Files\DivX
2009-10-25 22:42:06 ----D---- C:\Windows\system32\Tasks
2009-10-25 22:07:11 ----D---- C:\Users\***\AppData\Roaming\Winamp
2009-10-25 20:43:04 ----D---- C:\ProgramData\Google
2009-10-25 20:43:04 ----D---- C:\Program Files\Google
2009-10-25 20:43:03 ----D---- C:\Windows\Tasks
2009-10-25 19:55:40 ----D---- C:\Program Files\Winamp
2009-10-25 19:42:09 ----HD---- C:\Program Files\InstallShield Installation Information
2009-10-24 12:03:13 ----D---- C:\Program Files\Common Files\Blizzard Entertainment
2009-10-23 22:42:17 ----D---- C:\Program Files\Windows Live
2009-10-15 16:46:19 ----AD---- C:\ProgramData\TEMP
2009-10-14 11:29:22 ----D---- C:\Windows\Debug
2009-10-14 11:17:22 ----RSD---- C:\Windows\assembly
2009-10-14 11:15:08 ----D---- C:\Windows\Microsoft.NET
2009-10-14 11:13:35 ----D---- C:\Windows\ehome
2009-10-14 11:13:35 ----D---- C:\Program Files\Windows Mail
2009-10-14 11:13:31 ----D---- C:\Windows\system32\migration
2009-10-14 01:15:49 ----D---- C:\ProgramData\Microsoft Help
2009-10-09 07:07:54 ----D---- C:\Program Files\Microsoft Works
2009-10-09 07:07:51 ----D---- C:\Program Files\Common Files\microsoft shared
2009-10-09 07:07:46 ----D---- C:\Program Files\MSBuild
2009-10-09 07:07:37 ----D---- C:\Program Files\Microsoft Office
2009-10-09 07:07:26 ----D---- C:\Windows\ShellNew
2009-10-09 07:07:04 ----RSD---- C:\Windows\Fonts
2009-10-09 07:06:57 ----SD---- C:\ProgramData\Microsoft
2009-10-09 07:02:57 ----A---- C:\Windows\win.ini
2009-10-09 07:02:55 ----D---- C:\Program Files\Common Files\System
__________________


Geändert von Aelda (04.11.2009 um 22:00 Uhr)

Alt 04.11.2009, 21:18   #3
Aelda
 
Trojan.GameThief, Worm.Magania und Spyware.OnlineGames - Standard

Trojan.GameThief, Worm.Magania und Spyware.OnlineGames



Zitat:

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Hotkey;Hotkey; C:\Windows\system32\drivers\Hotkey.sys [2003-04-28 9867]
R2 regi;regi; C:\Windows\system32\drivers\regi.sys [2007-04-17 11032]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208]
R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys [2008-12-23 2476032]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-04-01 2113624]
R3 netr28;Ralink 802.11n Wireless Driver for Windows Vista; C:\Windows\system32\DRIVERS\netr28.sys [2007-11-21 327168]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2007-04-30 81408]
R3 RTSTOR;USB Mass Storage Device; C:\Windows\system32\drivers\RTSTOR.SYS [2008-01-03 59392]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2007-08-31 192688]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2006-11-28 1161888]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 GnabService;GnabService; c:\program files\common files\gnab\service\servicecontroller.exe [2007-04-19 36864]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe [2007-10-03 358936]
R2 IviRegMgr;IviRegMgr; C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe [2007-01-04 112152]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2008-02-18 877864]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\Windows\system32\IoctlSvc.exe [2006-12-19 81920]
R2 ProtexisLicensing;ProtexisLicensing; C:\Windows\system32\PSIService.exe [2007-06-05 177704]
R2 UleadBurningHelper;Ulead Burning Helper; C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe [2006-06-14 61440]
R3 WisLMSvc;WisLMSvc; C:\Program Files\Launch Manager\WisLMSvc.exe [2007-09-11 118784]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2009-03-30 31048]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-26 65824]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe [2008-02-28 529704]
S3 npggsvc;nProtect GameGuard Service; C:\Windows\system32\GameMon.des [2009-06-22 3087772]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

Danke im Voraus!
__________________

Alt 04.11.2009, 23:02   #4
WinUpGro
 
Trojan.GameThief, Worm.Magania und Spyware.OnlineGames - Standard

Trojan.GameThief, Worm.Magania und Spyware.OnlineGames



Zitat:
Zitat von Aelda Beitrag anzeigen
C:\86.exe (Trojan.GameThief) -> No action taken.
C:\9jyhdim8.exe (Spyware.OnlineGames) -> No action taken.
C:\o8tf6l.exe (Spyware.OnlineGames) -> No action taken.
C:\o9bxu.exe (Worm.Magania) -> No action taken.
C:\rg9g9bgq.exe (Spyware.OnlineGames) -> No action taken.
C:\s3ek.exe (Spyware.OnlineGames) -> No action taken.
C:\t8s2x.exe (Worm.Magania) -> No action taken.
D:\g8k.exe (Worm.Magania) -> No action taken.
D:\o9bxu.exe (Worm.Magania) -> No action taken.
D:\86.exe (Trojan.GameThief) -> No action taken.
D:\o8tf6l.exe (Spyware.OnlineGames) -> No action taken.
D:\rg9g9bgq.exe (Spyware.OnlineGames) -> No action taken.
D:\9jyhdim8.exe (Spyware.OnlineGames) -> No action taken.
D:\s3ek.exe (Spyware.OnlineGames) -> No action taken.
D:\t8s2x.exe (Worm.Magania) -> No action taken.
D:\rx.exe (Worm.Magania) -> No action taken.
Wie sollte man Dir denn raten den Rechner sauberzuhalten?

Die Spassteile sitzen sehr deppenhaft in der Root, unterstes Skriptkiddie - Niveau.

Dazu muss ich doch nur mal den Explorer öffnen um diesen Müll zu sehen?

Da fehlen mir glatt die Worte.

Bei dem hohen Grad an Verseuchung ist eine Neuinstallation wohl das Gescheiteste, MBR nicht vergessen.

Alt 05.11.2009, 20:04   #5
Aelda
 
Trojan.GameThief, Worm.Magania und Spyware.OnlineGames - Standard

Trojan.GameThief, Worm.Magania und Spyware.OnlineGames



Zitat:
Da fehlen mir glatt die Worte.
Wenn ich es selber könnte, hätte ich nicht gefragt.


Hat auch jemand sinnvolle Ergänzungen zu dem Thema?


Alt 05.11.2009, 20:30   #6
Acid303
 

Trojan.GameThief, Worm.Magania und Spyware.OnlineGames - Standard

Trojan.GameThief, Worm.Magania und Spyware.OnlineGames



Hallo Aelda

Starte nocheinmal Malwarebytes und scanne dein komplettes System (vorher updaten). Alle Funde löschen. Poste das neue log hier.

Rootkitscan mit GMER


Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Windows-Explorer öffnen (Windows-Taste + E) und unter => Organisieren => Ordner- und Suchoptionen => im Reiter "Ansicht"

* Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
* Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
* Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der GMER Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Die RSIT logs gehe ich später durch, jetzt muss ich erst zur Arbeit.

Gruß

Acid
__________________
--> Trojan.GameThief, Worm.Magania und Spyware.OnlineGames

Antwort

Themen zu Trojan.GameThief, Worm.Magania und Spyware.OnlineGames
.dll, benutzerprofildienst, explorer, flash player, hijack.system.hidden, hotfix.exe, install.exe, keylogger, local\temp, logon.exe, malwarebytes, malwarebytes' anti-malware, media center, microsoft, msiexec.exe, nero.exe, programdata, registrierungsschlüssel, rundll32, security, security update, software, spyware.onlinegames, temp, trojan.gamethief, trojaner, usb 2.0, winlogon.exe, worm.magania



Ähnliche Themen: Trojan.GameThief, Worm.Magania und Spyware.OnlineGames


  1. Spyware.OnlineGames entfernen
    Anleitungen, FAQs & Links - 11.11.2013 (2)
  2. BKA-Trojaner u.a. (Trojan.Bublik, Trojan-Ransom.Foreign, Worm.Cridex, Trojan.Yakes)
    Log-Analyse und Auswertung - 17.03.2013 (4)
  3. Bekomme "Trojan-gameThief.win32.magania.bevf" nicht gebändigt
    Plagegeister aller Art und deren Bekämpfung - 21.10.2012 (1)
  4. Bekomme "Trojan-gameThief.win32.magania.bevf" nicht gebändigt
    Plagegeister aller Art und deren Bekämpfung - 16.10.2012 (29)
  5. Bekomme "Trojan-gameThief.win32.magania.bevf" nicht gebändigt
    Alles rund um Windows - 19.08.2012 (2)
  6. Fund: Spyware.OnlineGames
    Plagegeister aller Art und deren Bekämpfung - 17.08.2011 (27)
  7. Infizierter Registrierungsschlüssel (Spyware.OnlineGames) ?
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (1)
  8. Trojan-GameThief.Win32.Magania.diij Computer fährt nicht mehr hoch
    Plagegeister aller Art und deren Bekämpfung - 19.05.2011 (3)
  9. GameThief Magania und das ganze Schiff liegt lahm...
    Plagegeister aller Art und deren Bekämpfung - 30.11.2010 (1)
  10. Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem!
    Log-Analyse und Auswertung - 01.08.2010 (19)
  11. autorun.inf --> worm.magania
    Plagegeister aller Art und deren Bekämpfung - 19.05.2010 (7)
  12. Trojan.win32.monder.gen, TR/Trash.Gen2 und TR/PSW.Magania.auub
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (7)
  13. Verdacht auf Trojaner gamethief.win32.OnLinegames.asgc
    Plagegeister aller Art und deren Bekämpfung - 08.01.2010 (1)
  14. WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (16)
  15. trojan-gamethief ?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2008 (2)
  16. Trojan-PSW.Win32.OnLineGames.acqh
    Mülltonne - 14.05.2008 (0)
  17. Trojaner (Trojan-PSW.Win32.OnLineGames) befürchtet.
    Mülltonne - 27.10.2007 (0)

Zum Thema Trojan.GameThief, Worm.Magania und Spyware.OnlineGames - Nabend zusammen, wie schon im Titel beschrieben, habe ich große Probleme mit Trojanern und Keyloggern - bin kein Experte, aber irgendwie sowas ist das - die aufjedenfall meine Passwörter ausspähen. - Trojan.GameThief, Worm.Magania und Spyware.OnlineGames...
Archiv
Du betrachtest: Trojan.GameThief, Worm.Magania und Spyware.OnlineGames auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.