Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Malwarebefall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.07.2011, 20:50   #1
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Hallo,

mein Nickname hatte ich in der Vergangenheit absult falsch gewählt, das tut jetzt aber nichts zur sache.

Zu meiner Vorgeschichte, hatte in der Vergangenheit nach Malwaresamples gesucht, und hatte auch welche gefunden, wollte damit nicht rumspielen sondern wollte dieverse AV Herstellern die zukommen lassen, also einsenden das Sie diesen Mist halt einpflegen, usw.

Gesagt getahn.

Und nun spinnt mein Rechner.

Malwarebytes' Anti-Malware, startete zwar aber nach ca. 10 sekunden wird es ausgeknippst. Das gleiche mit Super Antispayware, auch aus nach 10 sekunden oder weniger. Avast 6.0 wurde auch ausgeknipst ( mein Fehler hatte ihn abgeschalten, um an die Samples zu kommen) Ins Internet komme ich noch, aber wen ich den Rechner herunterfahren will, tut er nur so, Rechner wird heruntergefahren, dauerrt ein bischen...schawarzer Bildschirm volgt, Rechner leuft aber weiterhin.
Und einen älteren Systemwiederherstellungspunkt kann ich auch nicht einspielen, weil ich Ja meinen Rechner nicht ordnungsgemäss herunter fahren kann.

Habe schon mit mit Emsisoft Emergency Kit einiges löschen könne, und auch mi Kaspersky Rescue CD, und auch mit einer älteren G-Data Bootcd, logs könnte ich nur mit EEK nach reichen.

Nun die Log´s kann nicht alle einbringen hier:

1. Defrogger Log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:52 on 20/07/2011 (Besitzer)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...

-=E.O.F=-

2. Oldtimer Log.

Gestartet lief ein paar Sekunden geschloßen, also keines vorhanden.

3. Gmer Log.

Gmer gestartet, ca. 20 Minuten laufen lassen, hat sich bei, C:\Dokumente und Einstelungen\Besitzer\JETIdCache aufgehängt.

Windows Xp home Sp3, und ich hoffe auch alle updates.

Ist mein Pc Noch zu retten ?

Ich mache kein Home Banking, und ich kaufe auch so gut wie nie im Internet ein.
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Geändert von TrojanerHunterNEW (20.07.2011 um 20:58 Uhr)

Alt 20.07.2011, 22:03   #2
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Die Firewall, von Windows Xp home wurde dabei auch eingeschaltet, die ich in der Vergangenheit nicht hatte, ich nutze keine FW.

Also ich mein nach der infektion.
__________________

__________________

Alt 21.07.2011, 15:15   #3
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Zusatzinformation:

Werde manchmal beim surfen, auf porno, und andere dubiose Seiten umgeleitet.
__________________
__________________

Alt 21.07.2011, 15:26   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebefall - Standard

Malwarebefall



Zitat:
Zu meiner Vorgeschichte, hatte in der Vergangenheit nach Malwaresamples gesucht, und hatte auch welche gefunden, wollte damit nicht rumspielen sondern wollte dieverse AV Herstellern die zukommen lassen, also einsenden das Sie diesen Mist halt einpflegen, usw.
Wer mit dem Feuer spielt...
Was für Kaliber waren denn dabei?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.07.2011, 15:54   #5
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Hallo, danke das du mir helfen willst.

Leider weiß ich das nicht mer.

__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Alt 21.07.2011, 16:17   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebefall - Standard

Malwarebefall



Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php
__________________
--> Malwarebefall

Alt 21.07.2011, 16:27   #7
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Also habe jetzt MBAM neu installiert (auch esrstmal deinstalliert, habe auch das clean Too von MBAM benutzt) ging auch. Nach ca. 10 Sekunden wurde MBAM ausgeknipst. Nach erneuten starten kommt diese Meldund, von Malwarebytes' Anti-Malware.

Anbei ein screeni.

ImageShack® - Online Photo and Video Hosting

Das gleiche ist auch mit Super Antispyware.
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Alt 21.07.2011, 16:38   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebefall - Standard

Malwarebefall



Versuch mal CF:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.07.2011, 16:50   #9
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Keine cahnce um MBAM richtig durchlaufen zu lasssen, wird wieder nach ca. 10 Sekunde ausgeknipst. Werde es jetzt mal mit CF versuchen.

Danke für deine Hilfe.
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Alt 21.07.2011, 17:18   #10
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Hier nun das CF Log:
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-07-21.02 - Besitzer 21.07.2011  17:09:15.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.774 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\EurekaLog
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\EurekaLog\EurekaLog.ini
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\facemoods.com
c:\windows\assembly\GAC_MSIL\desktop.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-21 bis 2011-07-21  ))))))))))))))))))))))))))))))
.
.
2011-07-21 14:45 . 2011-07-21 14:45 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2011-07-21 14:45 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-21 14:45 . 2011-07-21 14:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-21 14:45 . 2011-07-21 14:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-07-21 14:45 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-20 17:49 . 2011-07-20 17:54 -------- d-----w- C:\Tbb-Reports
2011-07-19 09:53 . 2011-07-19 19:01 -------- d-----w- C:\New
2011-07-17 20:39 . 2001-08-17 10:15 442240 -c--a-w- c:\windows\system32\dllcache\fpnpbase.sys
2011-07-17 20:39 . 2001-08-17 10:14 441728 -c--a-w- c:\windows\system32\dllcache\fpcmbase.sys
2011-07-17 20:39 . 2001-08-17 10:14 444416 -c--a-w- c:\windows\system32\dllcache\fpcibase.sys
2011-07-17 20:39 . 2008-04-13 20:05 34173 -c--a-w- c:\windows\system32\dllcache\forehe.sys
2011-07-17 20:39 . 2001-08-18 02:53 71680 -c--a-w- c:\windows\system32\dllcache\fnfilter.dll
2011-07-17 20:39 . 2001-08-17 10:13 27165 -c--a-w- c:\windows\system32\dllcache\fetnd5.sys
2011-07-17 20:39 . 2001-08-17 10:10 22090 -c--a-w- c:\windows\system32\dllcache\fem556n5.sys
2011-07-17 20:26 . 2001-08-17 10:13 91305 -c--a-w- c:\windows\system32\dllcache\dimaint.sys
2011-07-17 20:25 . 2001-08-18 02:21 14208 -c--a-w- c:\windows\system32\dllcache\bulltlp3.sys
2011-07-17 20:22 . 2001-08-17 12:07 101888 -c--a-w- c:\windows\system32\dllcache\adpu160m.sys
2011-07-16 19:31 . 2011-07-16 19:31 -------- d-----w- c:\programme\Nitro PDF
2011-07-14 18:19 . 2011-07-14 18:22 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2011-07-07 18:57 . 2011-07-07 18:57 -------- d-----w- c:\programme\CCleaner
2011-07-07 18:42 . 2011-07-07 18:42 -------- d-----w- C:\WINSSLog
2011-06-28 18:04 . 2002-04-16 14:15 2670080 ----a-w- c:\windows\system32\MMToolsX2.OCX
2011-06-28 18:04 . 2001-05-04 01:34 834560 ----a-w- c:\windows\system32\MMWaveX2.OCX
2011-06-28 18:04 . 2001-01-20 22:14 428032 ----a-w- c:\windows\system32\MMTYPESX2.OCX
2011-06-28 18:03 . 2011-06-28 18:24 -------- d-----w- c:\programme\Radio-SkyPipe II
2011-06-28 17:54 . 2011-06-28 17:55 -------- d-----w- c:\programme\Spectrograph
2011-06-28 17:54 . 2011-06-28 18:03 249856 ------w- c:\windows\Setup1.exe
2011-06-28 17:54 . 2011-06-28 18:03 73216 ----a-w- c:\windows\ST6UNST.EXE
2011-06-27 16:37 . 2011-06-27 16:41 -------- d-----w- C:\Testxyz
2011-06-21 20:41 . 2011-06-21 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\IObit
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 19:56 . 2011-05-14 19:58 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-06 11:35 . 2002-08-29 12:00 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-02 15:31 . 2010-05-21 08:33 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2002-08-29 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2002-08-29 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2002-08-29 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-26 11:07 . 2002-08-29 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-25 16:05 . 2002-08-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2002-08-29 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2002-08-29 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2010-05-21 17:28 385024 ----a-w- c:\windows\system32\html.iec
2011-05-18 17:05 . 2011-05-18 17:05 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2009-08-06 . 62BB79160F86CD962F312C68C6239BFD . 53472 . . [7.4.7600.226] . . c:\windows\system32\dllcache\wuauclt.exe
[7] 2008-04-14 . 65E60C18DDB0215C201FF75E32D564C8 . 111616 . . [5.4.3790.5512] . . c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2002-08-29 . 83F9C79B435C356C79273DC6378D860B . 141824 . . [5.4.3630.1106] . . c:\windows\$NtServicePackUninstall$\wuauclt.exe
.
c:\windows\System32\wuauclt.exe ... Fehlt !!
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-07-05 2424192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-02 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\dokumente und einstellungen\Besitzer\Startmen\Programme\Autostart\
setup_9.0.0.722_20.06.2011_06-11.lnk - c:\dokumente und einstellungen\Besitzer\Desktop\DE-Cleaner powered by Kaspersky\setup_9.0.0.722_20.06.2011_06-11\startup.exe [N/A]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Printkey2000.lnk - c:\programme\PrintKey2000\Printkey2000.exe [2011-4-16 869376]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\SUPERAntiSpyware\\SUPERANTISPYWARE.EXE"=
"c:\\Programme\\NoVirusThanks\\Malware Remover Free\\NMR.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Google\\Update\\GoogleUpdate.exe"=
.
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
S1 MpKsl4ddbf866;MpKsl4ddbf866;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{3BD67CDF-851B-495F-96B5-22DFB5D1DA94}\MpKsl4ddbf866.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{3BD67CDF-851B-495F-96B5-22DFB5D1DA94}\MpKsl4ddbf866.sys [?]
S1 MpKslb0ae6f0f;MpKslb0ae6f0f;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BA88F73A-5A6E-41D2-B8A9-5DFD1786F2D1}\MpKslb0ae6f0f.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BA88F73A-5A6E-41D2-B8A9-5DFD1786F2D1}\MpKslb0ae6f0f.sys [?]
S1 MpKslc382eb50;MpKslc382eb50;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A2D41DB4-63C8-4942-A191-279982425BCE}\MpKslc382eb50.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A2D41DB4-63C8-4942-A191-279982425BCE}\MpKslc382eb50.sys [?]
S2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe --> c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [28.05.2010 09:23 130560]
S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run --> c:\windows\system32\hasplms.exe  -run [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [28.05.2010 09:23 130560]
.
Inhalt des "geplante Tasks" Ordners
.
2011-02-18 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2011-02-18 10:28]
.
2011-07-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-28 07:23]
.
2011-07-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-28 07:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: Save Page As PDF ... - file://c:\programme\Nitro PDF\PDF Download\nitroweb.htm
TCP: DhcpNameServer = 192.168.2.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17241
FF - prefs.js: browser.search.selectedEngine - Facemoods Search
FF - prefs.js: browser.startup.homepage - hxxp://start.facemoods.com/?a=ddr
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=adbartrp&AF=17241&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-NoVirusThanks Malware Remover Free Startup - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-07-21 17:14
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\windows\$NtUninstallKB23203$:SummaryInformation 0 bytes hidden from API
.
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@DACL=(02 0000)
@="Microsoft-Datenträgerkontingent"
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=expand:"dskquota.dll"
"ProcessGroupPolicy"="ProcessGroupPolicy"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}]
@DACL=(02 0000)
@="Internet Explorer Zonemapping"
"DllName"="c:\\WINDOWS\\system32\\iedkcs32.dll"
"ProcessGroupPolicy"="ProcessGroupPolicyForZoneMap"
"NoGPOListChanges"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000001
"DisplayName"="@c:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3051"
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{7B849a69-220F-451E-B3FE-2CB811AF94AE}]
@DACL=(02 0000)
@="Internet Explorer User Accelerators"
"DisplayName"="@c:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3051"
"DllName"="c:\\WINDOWS\\system32\\iedkcs32.dll"
"NoGPOListChanges"=dword:00000001
"ProcessGroupPolicy"="ProcessGroupPolicyForActivities"
"ProcessGroupPolicyEx"="ProcessGroupPolicyForActivitiesEx"
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
@DACL=(02 0000)
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"GenerateGroupPolicy"="SceGenerateGroupPolicy"
"ExtensionRsopPlanningDebugLevel"=dword:00000001
"ProcessGroupPolicyEx"="SceProcessSecurityPolicyGPOEx"
"ExtensionDebugLevel"=dword:00000001
"DllName"=expand:"scecli.dll"
@="Security"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:000003c0
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
@DACL=(02 0000)
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"="c:\\WINDOWS\\system32\\iedkcs32.dll"
@="Internet Explorer Branding"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001
"DisplayName"="@c:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3014"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
@DACL=(02 0000)
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=expand:"scecli.dll"
@="EFS recovery"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}]
@DACL=(02 0000)
@="802.3 Group Policy"
"DisplayName"=expand:"@dot3gpclnt.dll,-100"
"ProcessGroupPolicyEx"="ProcessLANPolicyEx"
"GenerateGroupPolicy"="GenerateLANPolicy"
"DllName"=expand:"dot3gpclnt.dll"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}]
@DACL=(02 0000)
@="Microsoft Offline Files"
"DllName"=expand:"%SystemRoot%\\System32\\cscui.dll"
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000000
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
@DACL=(02 0000)
@="Softwareinstallation"
"DllName"=expand:"appmgmts.dll"
"ProcessGroupPolicyEx"="ProcessGroupPolicyObjectsEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"NoBackgroundPolicy"=dword:00000000
"RequiresSucessfulRegistry"=dword:00000000
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"EventSources"=multi:"(Application Management,Application)\00(MsiInstaller,Application)\00\00"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}]
@DACL=(02 0000)
@="Internet Explorer Machine Accelerators"
"DisplayName"="@c:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3051"
"DllName"="c:\\WINDOWS\\system32\\iedkcs32.dll"
"NoGPOListChanges"=dword:00000001
"ProcessGroupPolicy"="ProcessGroupPolicyForActivities"
"ProcessGroupPolicyEx"="ProcessGroupPolicyForActivitiesEx"
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
@DACL=(02 0000)
"DllName"="c:\\Programme\\SUPERAntiSpyware\\SASWINLO.DLL"
"Logon"="SABWINLOLogon"
"Logoff"="SABWINLOLogoff"
"Startup"="SABWINLOStartup"
"Shutdown"="SABWINLOShutdown"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=expand:"crypt32.dll"
"Logoff"="ChainWlxLogoffEvent"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=expand:"cryptnet.dll"
"Logoff"="CryptnetWlxLogoffEvent"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
@DACL=(02 0000)
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
@DACL=(02 0000)
"Asynchronous"=dword:00000001
"DllName"=expand:"%SystemRoot%\\System32\\dimsntfy.dll"
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
@=""
"Impersonate"=dword:00000000
"DllName"="c:\\WINDOWS\\system32\\klogon.dll"
"Logon"="WLEventStop"
"Startup"="WLEventStart"
"Lock"="WLEventStart"
"Unlock"="WLEventStop"
"Logoff"="WLEventStart"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
@DACL=(02 0000)
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
"DllName"=expand:"wlnotify.dll"
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
@DACL=(02 0000)
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=expand:"sclgntfy.dll"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
@DACL=(02 0000)
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
"DllName"=expand:"wlnotify.dll"
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
@DACL=(02 0000)
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
@DACL=(02 0000)
"Hilfeassistent"=dword:00000000
"TsInternetUser"=dword:00000000
"SQLAgentCmdExec"=dword:00000000
"NetShowServices"=dword:00000000
"HelpAssistant"=dword:00000000
"IWAM_"=dword:00010000
"IUSR_"=dword:00010000
"VUSR_"=dword:00010000
.
Zeit der Fertigstellung: 2011-07-21  17:16:11
ComboFix-quarantined-files.txt  2011-07-21 15:16
.
Vor Suchlauf: 23 Verzeichnis(se), 135.537.741.824 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.841.173.504 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - BB864A6792C3EFFC52B9F310F7969A2D
         
--- --- ---

Ist das richtige, und habe ich alles richtig gemach. Ich glaube ich habe ein Rootkit drauf, laut CF Log, oder ?
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Alt 21.07.2011, 18:54   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebefall - Standard

Malwarebefall



Funktioniert Malwarebytes jetzt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.07.2011, 19:09   #12
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Nein leider nicht, hatte es gerade wieder versucht(natürlich Neu installiert, und mit den clean Tool auch noch herangegangen). Das gleiche wie vorher.
Was mir aufgefallen ist, das ich mein PW fürs Forum erneut eingeben mußte, um hier wieder zu posten. Und ich kann meinen Rechner nicht ordnungsgemäs Heruntefahren, bzw. Neustarten, er tut manchmal so herunterzufahren, Bildschirm ist schawarz, der Computer leuft aber weiter. Oder er bleib bei dem Bild der Computer wird heruntergefahren, dann bleibt er einfach stehen, dann mache ich einen Rest, oder ich schalte den Netzschalter am Computer aus. Anderes kann ich es im momment nicht machen.

Wie geht es weiter ?
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Alt 21.07.2011, 19:17   #13
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Ach Ja, die Windows Fire Wall mischt sich ab und zu ein.

Hatte ich aber immer ausgeschaltet.
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Alt 21.07.2011, 19:31   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebefall - Standard

Malwarebefall



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.07.2011, 19:43   #15
TrojanerHunterNEW
 
Malwarebefall - Standard

Malwarebefall



Ja bin gerade dabei, wwollte die alte OTL.exe lösche ging aber nicht weil ich dei nicht runter bring. Habe erneut herunter geladen, und eifach unbenennt, müßte so auch gehen, oder ?
__________________
Wer auf den Kopf geht, hat den Himmel als Abgrund.

Antwort

Themen zu Malwarebefall
anti-malware, autostart, avast, besitzer, bildschirm, dokumente, emerge, emsisoft, emsisoft emergency kit, falsch, fehler, g-data, gesucht, gmer, herunterfahren, home, interne, internet, kaspersky, kaspersky rescue, löschen, nichts, rescue, rescue cd, retten, sekunden, senden, sp3, spinnt, super, xp home



Ähnliche Themen: Malwarebefall


  1. Windows 8: Ad- und Malwarebefall nach Neuistallation
    Log-Analyse und Auswertung - 22.02.2015 (17)
  2. Verdacht auf Malwarebefall nach Systemstart check
    Log-Analyse und Auswertung - 21.02.2014 (9)
  3. Windows 7: Malwarebefall auf .exe Dateien
    Log-Analyse und Auswertung - 24.11.2013 (11)
  4. nach Malwarebefall - OTL-Logfall -Analyse
    Log-Analyse und Auswertung - 16.04.2013 (4)
  5. Möglicher Virus/Malwarebefall?
    Log-Analyse und Auswertung - 29.11.2012 (19)
  6. Malwarebefall, mögliche Ursache: Link angeklickt "xxx.ru, der nach Angriff a. die Website angezeigt
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  7. Ungepatchtes Windows 7: Reicht bloße Internetanbindung für Malwarebefall aus?
    Diskussionsforum - 28.05.2012 (3)
  8. internet langsam sobald ich mit notebook im WLAN bin..malwarebefall?
    Log-Analyse und Auswertung - 16.03.2012 (2)
  9. Malwarebefall (u.a. TR/FraudPack.kva.89) - Frage: neu aufsetzen?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2010 (17)
  10. Vielfacher Malwarebefall. JAVA/Agent.M.1 und Trojaner TR/Riner.YG z.B.
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (5)
  11. Spy-/&Malwarebefall, MS- Schwachstellen, Sicherheitslücken, adtech, webtranslive,
    Log-Analyse und Auswertung - 28.12.2009 (10)
  12. BITS läuft nach Malwarebefall in der Registry mit falschem Pfad
    Plagegeister aller Art und deren Bekämpfung - 16.06.2009 (2)
  13. verdacht auf malwarebefall
    Log-Analyse und Auswertung - 19.07.2008 (2)

Zum Thema Malwarebefall - Hallo, mein Nickname hatte ich in der Vergangenheit absult falsch gewählt, das tut jetzt aber nichts zur sache. Zu meiner Vorgeschichte, hatte in der Vergangenheit nach Malwaresamples gesucht, und hatte - Malwarebefall...
Archiv
Du betrachtest: Malwarebefall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.