| |
| |||||||
Log-Analyse und Auswertung: [Zeus Virus] mitgeteilt von web.de abuseWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.03.2012, 10:24
| #1 | |
| | ![[Zeus Virus] mitgeteilt von web.de abuse - Standard](images/icons/icon1.gif){kind=icon} [Zeus Virus] mitgeteilt von web.de abuse Hallo! Ich habe am 04.03 um 04:00 in der Früh vom Web.de Abuse Team folgende Mail erhalten: Zitat:
Über google bin ich auf ComboFix gestoßen (welches dieses Problem lösen soll) habe Combofix runtergeladen, Antivir so gut es ging deaktiviert (obwohl alles auf aus war hat er mich trotzdem gewarnt) und dann das Programm ausgeführt. Ich hab 3-4x eine Meldung bekommen, dass ein Virus gefunden wurde, einmal gab es ein reboot und folgendes File am Ende: Combofix Logfile: Code:
ATTFilter ComboFix 12-03-04.02 - *** 05.03.2012 18:26:22.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2843 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\***\Desktop\WICHTIG\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
d:\dokumente und einstellungen\***\4.0
d:\dokumente und einstellungen\***\Anwendungsdaten\AD ON Multimedia
d:\dokumente und einstellungen\***\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\config.ini
d:\dokumente und einstellungen\***\WINDOWS
d:\programme\INSTALL.LOG
d:\windows\$NtUninstallKB19617$
d:\windows\$NtUninstallKB19617$\2518276792\@
d:\windows\$NtUninstallKB19617$\2518276792\cfg.ini
d:\windows\$NtUninstallKB19617$\2518276792\Desktop.ini
d:\windows\$NtUninstallKB19617$\2518276792\L\ityybpwg
d:\windows\$NtUninstallKB19617$\528972586
d:\windows\system32\drivers\npf.sys
d:\windows\system32\Packet.dll
d:\windows\system32\wpcap.dll
E:\setup.exe
.
d:\windows\system32\drivers\vaxscsi.sys . . . ist infiziert!! . . . Failed to find a valid replacement.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Legacy_SSHNAS
-------\Service_NPF
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-02-05 bis 2012-03-05 ))))))))))))))))))))))))))))))
.
.
2012-03-05 17:15 . 2012-03-05 17:15 -------- d-----w- d:\programme\CCleaner
2012-02-29 18:58 . 2012-02-29 18:59 -------- d-----w- d:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\libimobiledevice
2012-02-28 20:04 . 2012-02-28 20:04 -------- d-----w- d:\programme\iPod
2012-02-28 20:04 . 2012-02-28 20:04 -------- d-----w- d:\programme\iTunes
2012-02-28 20:02 . 2012-02-28 20:02 -------- d-----w- d:\programme\Bonjour
2012-02-16 17:15 . 2012-01-11 19:06 3072 -c----w- d:\windows\system32\dllcache\iacenc.dll
2012-02-16 17:15 . 2012-01-11 19:06 3072 ------w- d:\windows\system32\iacenc.dll
2012-02-10 20:18 . 2012-02-11 11:53 0 --sha-w- d:\windows\system32\dds_trash_log.cmd
2012-02-10 20:17 . 2012-03-04 22:41 -------- d-----w- d:\dokumente und einstellungen\***\Anwendungsdaten\Mawius
2012-02-10 20:17 . 2012-03-03 19:27 -------- d-----w- d:\dokumente und einstellungen\***\Anwendungsdaten\Ufud
2012-02-08 09:22 . 2012-02-08 09:22 -------- d-----w- d:\programme\Dropbox
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-19 17:43 . 2009-03-20 18:17 138192 ----a-w- d:\windows\system32\drivers\avipbb.sys
2012-02-16 22:33 . 2011-05-21 10:27 414368 ----a-w- d:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-12 17:20 . 2008-04-14 05:23 1860096 ----a-w- d:\windows\system32\win32k.sys
2012-01-10 19:25 . 2012-01-10 19:25 933888 ----a-w- d:\windows\system32\o2cAreas.ocx
2012-01-10 19:25 . 2012-01-10 19:25 1208320 ----a-w- d:\windows\system32\O2CPlayer.ocx
2011-12-20 19:48 . 2008-04-14 05:53 26624 ----a-w- d:\windows\system32\userinit.exe
2011-12-17 19:43 . 2008-04-14 05:53 1469440 ----a-w- d:\windows\system32\inetcpl.cpl
2011-12-17 19:43 . 2008-04-14 05:52 916992 ----a-w- d:\windows\system32\wininet.dll
2011-12-17 19:43 . 2008-04-14 05:52 43520 ----a-w- d:\windows\system32\licmgr10.dll
2011-12-16 12:22 . 2008-04-14 05:25 385024 ----a-w- d:\windows\system32\html.iec
2010-12-01 13:43 . 2010-12-01 13:43 2690560 ----a-w- d:\programme\PartyGaming.exe
2010-12-01 13:27 . 2010-12-01 13:27 1162744 ----a-w- d:\programme\mfc90u.dll
2010-12-01 13:27 . 2010-12-01 13:27 41984 ----a-w- d:\programme\llh.dll
2010-12-01 13:27 . 2010-12-01 13:27 37376 ----a-w- d:\programme\ArticleManager.dll
2010-12-01 13:27 . 2010-12-01 13:27 655872 ----a-w- d:\programme\msvcr90.dll
2010-12-01 13:27 . 2010-12-01 13:27 434176 ----a-w- d:\programme\PGImageDll.dll
2010-12-01 13:27 . 2010-12-01 13:27 568832 ----a-w- d:\programme\msvcp90.dll
2010-12-01 13:27 . 2010-12-01 13:27 28672 ----a-w- d:\programme\DID.dll
2010-12-01 13:27 . 2010-12-01 13:27 679936 ----a-w- d:\programme\libeay32.dll
2010-12-01 13:27 . 2010-12-01 13:27 33280 ----a-w- d:\programme\PGWMIRetriever.dll
2010-12-01 13:27 . 2010-12-01 13:27 147456 ----a-w- d:\programme\ssleay32.dll
2010-12-01 13:27 . 2010-12-01 13:27 144896 ----a-w- d:\programme\PGBrowser.dll
2010-12-01 13:23 . 2010-12-01 13:23 90112 ----a-w- d:\programme\gkgfx.dll
2010-12-01 13:23 . 2010-12-01 13:23 81920 ----a-w- d:\programme\xpcom_compat.dll
2010-12-01 13:23 . 2010-12-01 13:23 69632 ----a-w- d:\programme\mozz.dll
2010-12-01 13:23 . 2010-12-01 13:23 462848 ----a-w- d:\programme\js3250.dll
2010-12-01 13:23 . 2010-12-01 13:23 430080 ----a-w- d:\programme\xpcom_core.dll
2010-12-01 13:23 . 2010-12-01 13:23 376832 ----a-w- d:\programme\nss3.dll
2010-12-01 13:23 . 2010-12-01 13:23 28672 ----a-w- d:\programme\plc4.dll
2010-12-01 13:23 . 2010-12-01 13:23 270336 ----a-w- d:\programme\nssckbi.dll
2010-12-01 13:23 . 2010-12-01 13:23 253952 ----a-w- d:\programme\softokn3.dll
2010-12-01 13:23 . 2010-12-01 13:23 24576 ----a-w- d:\programme\xpcom.dll
2010-12-01 13:23 . 2010-12-01 13:23 24576 ----a-w- d:\programme\plds4.dll
2010-12-01 13:23 . 2010-12-01 13:23 200704 ----a-w- d:\programme\freebl3.dll
2010-12-01 13:23 . 2010-12-01 13:23 155648 ----a-w- d:\programme\nspr4.dll
2010-12-01 13:23 . 2010-12-01 13:23 131072 ----a-w- d:\programme\ssl3.dll
2010-12-01 13:23 . 2010-12-01 13:23 106496 ----a-w- d:\programme\smime3.dll
2010-12-01 13:20 . 2010-12-01 13:20 114688 ----a-w- d:\programme\PGDetector.exe
2010-12-01 13:20 . 2010-12-01 13:20 110592 ----a-w- d:\programme\CleanUp.exe
2009-08-05 14:19 . 2009-08-05 14:19 110592 ----a-w- d:\programme\DM.dll
2008-01-24 16:22 . 2008-01-24 16:22 995410 ----a-w- d:\programme\MFC42LU.DLL
2008-01-24 16:22 . 2008-01-24 16:22 59904 ----a-w- d:\programme\zlib1.dll
2008-01-24 16:22 . 2008-01-24 16:22 393216 ----a-w- d:\programme\MSLUP60.dll
2008-01-24 16:22 . 2008-01-24 16:22 237568 ----a-w- d:\programme\MSLURT.dll
2006-11-07 07:53 . 2006-11-07 07:53 258352 ----a-w- d:\programme\UNICOWS.DLL
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OnlineFestplatte"="d:\programme\aon\Onlinefestplatte\OnlineFestplatte.exe" [2008-01-25 253976]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-04-07 16859136]
"Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"StatusClient"="d:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
"TomcatStartup"="d:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"Start WingMan Profiler"="d:\programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 88584]
"StartCCC"="d:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-09-10 98304]
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="d:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"bgsmsnd.exe"="d:\windows\system32\bgsmsnd.exe" [2007-11-19 160136]
"APSDaemon"="d:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2012-01-16 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
d:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\
Dropbox.lnk - d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-2-17 26530760]
.
d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - d:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2008-5-16 25214]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UrrabpagCifw.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Steam\\steamapps\\xxx\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"d:\\Programme\\Doom 3\\DOOM3DED.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"d:\\Programme\\Telekom Austria\\aonController\\aonController.exe"=
"d:\\Programme\\Telekom Austria\\Breitband-Internet-Installation\\fixnet installer\\Installer.exe"=
"d:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"d:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"d:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\Programme\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\NFS11.exe"=
"e:\\Programme\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\Launcher.exe"=
"d:\\Programme\\Vuze\\Azureus.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Neu noch nicht auf platte\\iphoneX\\tinyumbrella-4.33.00.exe"=
"d:\\Dokumente und Einstellungen\\xxx\\Eigene Dateien\\Downloads\\putty.exe"=
"e:\\Programme\\Fifa 12\\Game\\fifa.exe"=
"x:\\GTA IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"x:\\GTA IV\\Grand Theft Auto IV\\GTAIV.exe"=
"d:\\Dokumente und Einstellungen\\xxx\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"d:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"d:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"e:\\Neu noch nicht auf platte\\iphoneX\\tinyumbrella-5.10.07.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"23351:UDP"= 23351:UDP:UDP 23351
"23630:TCP"= 23630:TCP:TCP 23630
.
R0 Lbd;Lbd;d:\windows\system32\drivers\Lbd.sys [05.01.2010 21:29 64512]
R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [13.05.2008 21:47 721904]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 19:17 136360]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programme\Lavasoft\Ad-Aware\AAWService.exe [21.07.2011 13:59 2152152]
R3 vaxscsi;vaxscsi;d:\windows\system32\drivers\vaxscsi.sys [13.05.2008 21:49 223128]
S2 gupdate;Google Update Service (gupdate);d:\programme\Google\Update\GoogleUpdate.exe [29.12.2009 12:38 135664]
S2 qvylsxmjg;qvylsxmjg;\??\d:\windows\system32\drivers\ulfaiiaeitmj.sys --> d:\windows\system32\drivers\ulfaiiaeitmj.sys [?]
S2 vsrbf;vsrbf;\??\d:\windows\system32\drivers\sqiwrtkvgrawv.sys --> d:\windows\system32\drivers\sqiwrtkvgrawv.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;d:\windows\system32\FsUsbExDisk.Sys [16.11.2009 18:50 36608]
S3 gupdatem;Google Update-Dienst (gupdatem);d:\programme\Google\Update\GoogleUpdate.exe [29.12.2009 12:38 135664]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);d:\windows\system32\drivers\s115bus.sys [23.12.2008 16:56 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;d:\windows\system32\drivers\s115mdfl.sys [23.12.2008 16:56 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;d:\windows\system32\drivers\s115mdm.sys [23.12.2008 16:56 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);d:\windows\system32\drivers\s115mgmt.sys [23.12.2008 16:57 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;d:\windows\system32\drivers\s115obex.sys [23.12.2008 16:57 98568]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S3 SynasUSB;SynasUSB;d:\windows\system32\drivers\synasUSB.sys [10.01.2012 20:25 23288]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mssql$sqlexpress
se2Bunic
el90xbc
GENERICDRV
ghoststartservice
QPSched
wg5n
raidmagt
iaimtv4
wpsdrvnt
softfax
{e2b953a6-195a-44f9-9ba3-3d5f4e32bb55}
ehsched
appnnode
Gernuwa
rmedia
TICalc
AmdIde
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-05 d:\windows\Tasks\Ad-Aware Update (Weekly).job
- d:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-07-21 07:40]
.
2012-02-28 d:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 11:34]
.
2012-03-05 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\programme\Google\Update\GoogleUpdate.exe [2009-12-29 11:38]
.
2012-03-04 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\programme\Google\Update\GoogleUpdate.exe [2009-12-29 11:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://orf.at/
uInternet Settings,ProxyServer = 195.37.16.97:3128
uInternet Settings,ProxyOverride = *.local
IE: Block frame with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_frame
IE: Block image with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_image
IE: Block link with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_link
IE: Convert link target to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Don't filter page with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_exclude
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Report page to the Ad Muncher developers - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_report
IE: View EXIF - c:\viewexif\EXIF.htm
FF - ProfilePath - d:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\90we2vdv.default\
FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - d:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: 20-20 3D Viewer: 2020Player@2020Technologies.com - %profile%\extensions\2020Player@2020Technologies.com
FF - Ext: Gutscheinsammler.de: alarm@gutscheinsammler.de - %profile%\extensions\alarm@gutscheinsammler.de
FF - Ext: EPUBReader: {5384767E-00D9-40E9-B72F-9CC39D655D6F} - %profile%\extensions\{5384767E-00D9-40E9-B72F-9CC39D655D6F}
FF - Ext: 20-20 3D Viewer - IKEA: 2020Player_IKEA@2020Technologies.com - %profile%\extensions\2020Player_IKEA@2020Technologies.com
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-RGSC - x:\gta iv\Rockstar Games Social Club\RGSCLauncher.exe
HKLM-Run-NPSStartup - (no file)
AddRemove-Foxit PDF Editor - c:\program files\Foxit Software\PDF Editor\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-05 18:34
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-746137067-1060284298-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:e9,96,8f,71,29,52,18,d4,da,8e,2a,6c,f2,fc,52,e4,9b,ad,5d,de,ce,
54,01,45,25,c0,9b,3c,91,f6,3b,03,e7,bf,b1,38,a5,c3,67,fc,34,3d,16,7e,bb,2f,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(624)
d:\windows\system32\Ati2evxx.dll
d:\windows\system32\atiadlxx.dll
.
- - - - - - - > 'explorer.exe'(564)
d:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
d:\windows\system32\webcheck.dll
d:\windows\system32\WPDShServiceObj.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\windows\system32\Ati2evxx.exe
d:\windows\system32\Ati2evxx.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
d:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
d:\programme\Avira\AntiVir Desktop\avshadow.exe
d:\programme\Bonjour\mDNSResponder.exe
d:\programme\Java\jre6\bin\jqs.exe
d:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
d:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
d:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe
d:\windows\RTHDCPL.EXE
d:\programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
d:\windows\system32\wbem\unsecapp.exe
d:\programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
d:\programme\iPod\bin\iPodService.exe
d:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-05 18:39:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-03-05 17:39
.
Vor Suchlauf: 6.297.640.960 Bytes frei
Nach Suchlauf: 6.543.335.424 Bytes frei
.
- - End Of File - - F33EEC955C1C55B4C2D10CD2E8BECF60
Ist der Virus damit weg? Wohl eher nicht? Neuaufsetzen von D:\ wäre kein Problem. E:\ ist eine andere Partition auf der selben Platte X:\ eine eigene Platte Leider werden auch e: und x: in dem Report erwähnt. Muss ich auch von den bei den laufwerken alle Programme und .exe datein löschen um den Virus endgültig loszuwerden? Bin für jede Hilfe dankbar  edit: die spiele (z.b. fifa) und programme (z.b. tinyumbrella) sind möglicherweise genau die, die ich seit einem mögliche virusbefall gestartet habe. sind die dadruch infiziert worden? Andere Spiele und Programme auf den selben Platten/Partitionen sind nicht angeführt?! Geändert von herbiw (06.03.2012 um 10:31 Uhr) |
| Themen zu [Zeus Virus] mitgeteilt von web.de abuse |
| abuse team, ad-aware, antivir, avgnt, avira, combofix, desktop, e-mail, ebay, einstellungen, failed, firefox, frage, frame, google, google earth, grand theft auto, initiative, malware, mozilla, problem, programm, scan, schannel.dll, schutz, sicherheit, sicherheitsexperten, studio, svchost, udp, virus, windows, windows xp, ändern |
![[Zeus Virus] mitgeteilt von web.de abuse](iconimages/log-analyse-auswertung/zeus-virus-mitgeteilt-web-de-abuse_ltr.gif)
Baum-Darstellung