| |
| |||||||
Log-Analyse und Auswertung: Trojaner nach ominöser E-Mail von vertrauter Quelle?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
30.08.2012, 21:49
| #1 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Trojaner nach ominöser E-Mail von vertrauter Quelle? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
31.08.2012, 09:13
| #2 |
 | Trojaner nach ominöser E-Mail von vertrauter Quelle? hallo,
__________________auch erledigt. gruß Combofix Logfile: Code:
ATTFilter ComboFix 12-08-30.05 - Stefanie Yvonne 31.08.2012 9:48.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.694 [GMT 2:00]
ausgeführt von:: c:\firststeps\Desktop\sõuberung\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Stefanie Yvonne\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Service_NPF
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-07-28 bis 2012-08-31 ))))))))))))))))))))))))))))))
.
.
2012-08-28 17:06 . 2012-08-28 17:06 -------- d-----w- C:\_OTL
2012-08-09 17:11 . 2012-08-09 17:11 -------- d-----w- c:\programme\ESET
2012-08-09 15:47 . 2012-08-09 15:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2012-08-09 15:47 . 2012-08-09 15:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-08-09 15:47 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-09 15:47 . 2012-08-09 15:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-15 20:09 . 2012-04-11 17:11 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-15 20:09 . 2011-05-22 18:23 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-07-06 13:59 . 2005-10-27 06:33 78336 ----a-w- c:\windows\system32\browser.dll
2012-07-04 14:05 . 2005-10-27 05:47 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2005-10-27 06:33 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-07-02 17:39 . 2005-10-27 06:33 916992 ----a-w- c:\windows\system32\wininet.dll
2012-07-02 17:39 . 2005-10-27 06:33 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-07-02 17:39 . 2005-10-27 06:33 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-07-02 12:05 . 2005-10-27 06:33 385024 ----a-w- c:\windows\system32\html.iec
2012-06-05 15:49 . 2008-08-29 19:06 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2005-10-27 06:33 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2005-10-27 06:33 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2007-05-22 17:18 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2007-05-22 17:18 15896 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2005-10-27 05:49 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2005-10-27 05:49 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2005-10-27 05:49 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2007-05-22 17:18 15896 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2005-10-27 06:33 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2005-10-27 05:49 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2005-10-27 05:49 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2005-05-26 03:16 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2007-05-22 17:18 23576 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2005-10-27 05:49 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2005-10-27 05:49 1933848 ----a-w- c:\windows\system32\wuaueng.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-09 344064]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-01 708697]
"SoundMan"="SOUNDMAN.EXE" [2005-09-07 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-09-07 2806272]
"avp"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-11-02 365336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 2000 Series.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk
backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Samsung Auto Backup Guage.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Samsung Auto Backup Guage.lnk
backup=c:\windows\pss\Samsung Auto Backup Guage.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Samsung Auto Backup Real-Time Daemon.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Samsung Auto Backup Real-Time Daemon.lnk
backup=c:\windows\pss\Samsung Auto Backup Real-Time Daemon.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Samsung Auto Backup Scheduler.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Samsung Auto Backup Scheduler.lnk
backup=c:\windows\pss\Samsung Auto Backup Scheduler.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-09-08 23:18 57344 ----a-w- c:\programme\Adobe\Photoshop Elements 4.0\apdproxy.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DSLCoMan]
2007-07-24 20:19 1300024 ----a-w- c:\programme\DSL Connection Manager\DSLCoMan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2005-02-22 06:55 1611488 ----a-w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-06-06 14:47 98304 ----a-w- c:\programme\QuickTime\qttask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2005-08-12 09:09 552960 ----a-w- c:\windows\sm56hlpr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YeppStudioAgent]
2005-08-30 15:21 40960 ----a-w- c:\programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\German\\setup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 16:43 11352]
R2 accvssvc;AccSys WLAN Control Service;c:\programme\Gemeinsame Dateien\AccSys\accvssvc.exe [28.09.2008 08:32 126976]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [25.03.2008 20:07 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 19:27 19472]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [11.04.2012 19:11 250056]
S3 mdf16;mdf16;\??\c:\programme\Clarus\Samsung SecretZone\mdf16.sys --> c:\programme\Clarus\Samsung SecretZone\mdf16.sys [?]
S3 mvd22;mvd22;\??\c:\programme\Clarus\Samsung SecretZone\mvd22.sys --> c:\programme\Clarus\Samsung SecretZone\mvd22.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-08-29 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 20:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://go.gmx.net/suchbox/gmxsuche?su=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-08-31 10:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3604)
c:\progra~1\WINDOW~2\wmpband.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\SOUNDMAN.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-31 10:02:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-08-31 08:02
.
Vor Suchlauf: 13 Verzeichnis(se), 18.919.522.304 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 18.792.452.096 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 1A88D08E3CEE1B2992C7564C2EB3B3E7
|
|
| Themen zu Trojaner nach ominöser E-Mail von vertrauter Quelle? |
| avira, avp.exe, bho, dsl, e-banking, e-mail, einstellungen, error, firefox, flash player, format, hdaudio.sys, home, homepage, kaspersky, logfile, ntdll.dll, object, origin, plug-in, realtek, registry, rundll, scan, security, server, software, tastatur, trojaner, udp, windows internet |
Hybrid-Darstellung
