Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MSE: Sirefef, Necurs, Fareit und CVE-2012-1723

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.09.2012, 21:58   #1
LlN
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Hallo,

vor ca. einer Woche hat MSE beim Surfen per Firefox plötzlich angefangen Alarm zu schlagen.
Anschließend ließ ich den Rechner durchscannen mit folgende Fünde:

PWS:Win32/Fareit.gen!E
TrojanDropper:Win32/Sirefef.gen!A
TrojanDropper:Win32/Necurs.gen!A
Trojan:Win32/Sirefef
Trojan:Win32/Sirefef.AQ
Trojan:Win32/Sirefef.AL
Trojan:Win32/Sirefef.BC
Trojan:Win32/Sirefef.P
Exploit:Java/CVE-2012-1723.SC
Exploit:Java/CVE-2012-1723.ED
Exploit:Java/CVE-2012-1723.EE
Exploit:Java/CVE-2012-1723.EF
Exploit:Java/CVE-2012-1723.EG
Exploit:Java/CVE-2012-1723.XM
Exploit:Java/CVE-2012-1723.CG

Ich bin mir nicht sicher, dass der Rechner nun jetzt wieder sauber und vertrauenswürdig ist.

Wo finde ich im Internet eine gute Seite, was die einzelne Malware für Schäden anrichten, am besten auf deutsch?

Anhand die Logs.

Im Voraus vielen Dank.
Angehängte Dateien
Dateityp: txt OTL.Txt (54,0 KB, 179x aufgerufen)

Geändert von LlN (03.09.2012 um 22:29 Uhr)

Alt 04.09.2012, 23:04   #2
Larusso
/// Selecta Jahrusso
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Willst du Hilfe oder sollen wir dir einfach nur erklären, was diese Infektionen machen ( was ich nciht machen werde, da es genug Infos im Netz gibt, auch in Deutsch )
__________________

__________________

Alt 05.09.2012, 10:00   #3
LlN
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Danke für deine Rückmeldung. Entschuldige, dass ich mich missverständlich ausgedrückt habe. Ich habe gehofft, dass ich neben Hilfe auch erklärt bekomme.

Sicherlich habe ich vorher schon versucht im Internet schlau zu machen, was mir aber nicht gelang. Offenbar z.B. bei Sirefef je nach Version mal Trojaner, einmal Rootkit. Mal lese ich, dass Sirefef Passwörter stiehlt und es gab Berichte von Datenvernichten sowie ständiges Herunterfahren des Rechners. Erschwerend kommt hinzu, dass bei jedem Antimalwarenhersteller ihre Malware unterschiedliche Namen geben. Ich habe gehofft, dass ihr welche kennt, wo man gut nachschauen kann.
__________________

Alt 05.09.2012, 11:45   #4
Larusso
/// Selecta Jahrusso
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723





Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  • Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
  • Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.
Note: Sollte ich 48 Stunden nichts von mir hören lassen, schicke mir bitte eine PM. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des PCs.



Sirefef = ZeroAccess. Auf Seiten von Sophos und ESET sollte man dazu schon ganz gute Erklärungen finden


Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.09.2012, 18:21   #5
LlN
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Danke für dein Willkommenheißen und dein Hilfsbereitschaft. Anbei Logfile.

Combofix.txt
Code:
ATTFilter
ComboFix 12-09-05.02 - *** 05.09.2012  17:58:35.2.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.2046.1255 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-05 bis 2012-09-05  ))))))))))))))))))))))))))))))
.
.
2012-09-05 16:05 . 2012-09-05 16:05	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-09-05 15:53 . 2012-08-23 07:15	7022536	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{9961CF49-20A1-4EC0-94DD-9BF85E262063}\mpengine.dll
2012-09-05 15:51 . 2012-08-23 07:15	7022536	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-09-05 15:43 . 2012-09-05 16:05	--------	d-----w-	c:\users\***\AppData\Local\temp
2012-09-02 14:25 . 2012-09-02 14:25	--------	d-----w-	c:\program files\Common Files\Windows Live
2012-09-01 08:28 . 2012-09-01 08:40	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2012-09-01 08:28 . 2012-09-01 08:32	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2012-08-31 21:30 . 2012-08-21 09:13	21256	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-08-31 21:30 . 2012-08-21 09:13	355632	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-08-31 21:30 . 2012-08-21 09:13	44784	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-08-31 21:30 . 2012-08-21 09:13	54232	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-08-31 21:30 . 2012-08-21 09:13	729752	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-08-31 21:30 . 2012-08-21 09:13	58680	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-08-31 21:29 . 2012-08-21 09:12	41224	----a-w-	c:\windows\avastSS.scr
2012-08-31 21:29 . 2012-08-21 09:12	227648	----a-w-	c:\windows\system32\aswBoot.exe
2012-08-31 21:29 . 2012-08-31 21:29	--------	d-----w-	c:\programdata\AVAST Software
2012-08-31 21:29 . 2012-08-31 21:29	--------	d-----w-	c:\program files\AVAST Software
2012-08-31 17:52 . 2012-08-31 17:52	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-08-31 17:52 . 2012-08-31 17:52	--------	d-----w-	c:\program files\Java
2012-08-30 17:46 . 2012-08-30 17:46	--------	d-----w-	c:\program files\BurnAware Free
2012-08-29 20:21 . 2012-08-29 20:21	73696	----a-w-	c:\program files\Mozilla Firefox\breakpadinjector.dll
2012-08-29 20:17 . 2012-08-29 20:17	--------	d-----w-	c:\users\***\AppData\Roaming\Malwarebytes
2012-08-29 20:17 . 2012-08-29 20:17	--------	d-----w-	c:\programdata\Malwarebytes
2012-08-29 20:17 . 2012-08-29 20:17	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-08-29 20:17 . 2012-07-03 11:46	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-29 19:58 . 2012-08-29 19:58	--------	d-----w-	c:\program files\Common Files\Java
2012-08-16 17:58 . 2012-08-16 17:58	--------	d-----w-	c:\program files\Microsoft Device Center
2012-08-16 17:56 . 2012-07-06 19:23	393728	----a-w-	c:\windows\system32\drivers\bthport.sys
2012-08-16 17:01 . 2012-02-11 05:43	492032	----a-w-	c:\windows\system32\win32spl.dll
2012-08-16 17:01 . 2012-02-11 05:37	317440	----a-w-	c:\windows\system32\spoolsv.exe
2012-08-16 17:00 . 2012-05-05 07:46	400896	----a-w-	c:\windows\system32\srcore.dll
2012-08-16 17:00 . 2012-07-18 17:47	2345984	----a-w-	c:\windows\system32\win32k.sys
2012-08-16 17:00 . 2012-07-04 21:14	41984	----a-w-	c:\windows\system32\browcli.dll
2012-08-16 17:00 . 2012-07-04 21:14	102912	----a-w-	c:\windows\system32\browser.dll
2012-08-16 17:00 . 2012-05-14 04:33	769024	----a-w-	c:\windows\system32\localspl.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-31 17:52 . 2012-06-23 21:12	746984	----a-w-	c:\windows\system32\deployJava1.dll
2012-08-31 17:52 . 2012-06-23 21:12	821736	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-08-28 21:36 . 2012-06-21 21:10	73416	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-28 21:36 . 2012-06-21 21:10	696520	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-07-05 11:02 . 2012-07-17 17:41	81920	----a-w-	c:\windows\system32\pdfcmon.dll
2012-07-02 18:28 . 2012-07-02 18:28	112640	----a-w-	c:\windows\system32\ff_vfw.dll
2012-06-26 19:36 . 2012-06-26 19:36	42208	----a-w-	c:\windows\system32\drivers\point32.sys
2012-06-22 21:28 . 2012-06-22 21:28	1282048	----a-w-	c:\windows\system32\VSFilter.dll
2012-06-21 15:38 . 2012-06-21 15:38	86528	----a-w-	c:\windows\system32\iesysprep.dll
2012-06-21 15:38 . 2012-06-21 15:38	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2012-06-21 15:38 . 2012-06-21 15:38	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2012-06-21 15:38 . 2012-06-21 15:38	74752	----a-w-	c:\windows\system32\iesetup.dll
2012-06-21 15:38 . 2012-06-21 15:38	63488	----a-w-	c:\windows\system32\tdc.ocx
2012-06-21 15:38 . 2012-06-21 15:38	48640	----a-w-	c:\windows\system32\mshtmler.dll
2012-06-21 15:38 . 2012-06-21 15:38	420864	----a-w-	c:\windows\system32\vbscript.dll
2012-06-21 15:38 . 2012-06-21 15:38	367104	----a-w-	c:\windows\system32\html.iec
2012-06-21 15:38 . 2012-06-21 15:38	35840	----a-w-	c:\windows\system32\imgutil.dll
2012-06-21 15:38 . 2012-06-21 15:38	23552	----a-w-	c:\windows\system32\licmgr10.dll
2012-06-21 15:38 . 2012-06-21 15:38	161792	----a-w-	c:\windows\system32\msls31.dll
2012-06-21 15:38 . 2012-06-21 15:38	152064	----a-w-	c:\windows\system32\wextract.exe
2012-06-21 15:38 . 2012-06-21 15:38	150528	----a-w-	c:\windows\system32\iexpress.exe
2012-06-21 15:38 . 2012-06-21 15:38	11776	----a-w-	c:\windows\system32\mshta.exe
2012-06-21 15:38 . 2012-06-21 15:38	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2012-06-21 15:38 . 2012-06-21 15:38	101888	----a-w-	c:\windows\system32\admparse.dll
2012-06-18 01:14 . 2012-06-21 15:40	6762896	------w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{7F02007D-336B-42AA-990D-434B294FE3EA}\mpengine.dll
2012-06-09 17:21 . 2012-06-09 17:21	178688	----a-w-	c:\windows\system32\unrar.dll
2012-08-29 20:21 . 2012-07-17 20:33	266720	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-08-21 09:12	121528	----a-w-	c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-09-12 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-12 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-12 81920]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"IntelliType Pro"="c:\program files\Microsoft Device Center\itype.exe" [2012-06-26 1109072]
"IntelliPoint"="c:\program files\Microsoft Device Center\ipoint.exe" [2012-06-26 1629280]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-08-21 4282728]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Secunia PSI Tray.lnk - c:\program files\Secunia\PSI\psi_tray.exe [2012-6-27 572000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 gupdate;Google Update-Dienst (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 Secunia Update Agent;Secunia Update Agent;c:\program files\Secunia\PSI\sua.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [x]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [x]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [x]
S2 Secunia PSI Agent;Secunia PSI Agent;c:\program files\Secunia\PSI\PSIA.exe [x]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [x]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [x]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-21 21:36]
.
2012-09-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-10 18:24]
.
2012-09-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-10 18:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://www.google.de/
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\7tlnqvsc.default\
FF - prefs.js: browser.startup.homepage - http://www.trojaner-board.de/123425-...12-1723-a.html
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-09-05  18:07:18
ComboFix-quarantined-files.txt  2012-09-05 16:07
ComboFix2.txt  2012-09-05 15:43
.
Vor Suchlauf: 7 Verzeichnis(se), 27.809.673.216 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 27.752.759.296 Bytes frei
.
- - End Of File - - E6CE591168A4A2BF8EAC7CC9D8BAEB6F
         


Alt 05.09.2012, 18:46   #6
Larusso
/// Selecta Jahrusso
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Hy,

Macht der Rechner irgendwelche Probleme ?
__________________
--> MSE: Sirefef, Necurs, Fareit und CVE-2012-1723

Alt 05.09.2012, 19:02   #7
LlN
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Zur Zeit gibt es keine Auffälligkeiten. Doch eins verstehe ich nicht, wieso ich den Inhalt von C:\$RECYCLE.BIN nicht vollständig einsehen kann, trotz der Einstellung, dass alle Dateien sichtbar sein sollen. Dort wurden ja größtenteils Malware von MSE entdeckt und war erstaunt, dass ich dort gar nichts sehen kann.

Alt 06.09.2012, 15:09   #8
Larusso
/// Selecta Jahrusso
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Zitat:
wieso ich den Inhalt von C:\$RECYCLE.BIN nicht vollständig einsehen kann,
Ich versteh nicht, wie man 30 Millionen Dollar für ein Olympia Stadion ausgeben kann, aber keinen Cent hat um in Afrika ein Krankenhaus zu bauen.

Man muss nciht immer alles verstehen.




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 06.09.2012, 18:15   #9
LlN
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Also wegen C:\$RECYCLE.BIN, wenn dies aber so normal ist, dann ist es ok. Ich war etwas skeptisch, da ja dort Malware gefunden wurde und ich genau diesen Inhalt nicht einsehen konnte. So konnte ich nicht prüfen, ob dort evtl. weitere Inhalte sind und ich sie evtl. per Hand löschen kann, falls Malwarescanner sie evtl. übersehen hat bzw. (noch) nicht als bösartig angesehen hat. Daher die Nachfrage. Entschuldige, ich wollte dich nicht mit meiner Frage aufregen.

Übrigens, Ergebnis von Eset Online Scanner: No threats found.

Alt 06.09.2012, 19:11   #10
Larusso
/// Selecta Jahrusso
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 07.09.2012, 08:42   #11
LlN
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Ich habe OTL nach dieser Anleitung so eingestellt: http://www.trojaner-board.de/85104-o...oldtimer.html.

OTL.txt
Code:
ATTFilter
OTL logfile created on: 07.09.2012 08:02:33 - Run 2
OTL by OldTimer - Version 3.2.60.0     Folder = C:\Users\***\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,34 Gb Available Physical Memory | 67,29% Memory free
4,00 Gb Paging File | 3,10 Gb Available in Paging File | 77,54% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 40,00 Gb Total Space | 25,03 Gb Free Space | 62,58% Space Free | Partition Type: NTFS
Drive D: | 100,05 Gb Total Space | 2,61 Gb Free Space | 2,61% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\AVAST Software\Avast\AvastUI.exe (AVAST Software)
PRC - C:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Secunia\PSI\psia.exe (Secunia)
PRC - C:\Programme\Secunia\PSI\psi_tray.exe (Secunia)
PRC - C:\Programme\Microsoft Device Center\ipoint.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Device Center\itype.exe (Microsoft Corporation)
PRC - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
PRC - c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Programme\Sony\VAIO Power Management\SPMgr.exe (Sony Corporation)
PRC - C:\Programme\Sony\VAIO Power Management\SPMService.exe (Sony Corporation)
PRC - C:\Programme\Sony\VAIO Event Service\VESMgrSub.exe (Sony Corporation)
PRC - C:\Programme\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV - (SBSDWSCService) -- C:\Program Files\Spybot File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (avast! Antivirus) -- C:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Secunia PSI Agent) -- C:\Programme\Secunia\PSI\psia.exe (Secunia)
SRV - (Secunia Update Agent) -- C:\Programme\Secunia\PSI\sua.exe (Secunia)
SRV - (TomTomHOMEService) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
SRV - (NisSrv) -- c:\Programme\Microsoft Security Client\NisSrv.exe (Microsoft Corporation)
SRV - (MsMpSvc) -- c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (VAIO Power Management) -- C:\Programme\Sony\VAIO Power Management\SPMService.exe (Sony Corporation)
SRV - (VAIO Event Service) -- C:\Programme\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (catchme) -- C:\Users\***\AppData\Local\Temp\catchme.sys File not found
DRV - (MpKsl5c291a9b) -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{111B40D2-932F-463D-A23D-6A8F6F683934}\MpKsl5c291a9b.sys (Microsoft Corporation)
DRV - (aswSnx) -- C:\Windows\System32\drivers\aswSnx.sys (AVAST Software)
DRV - (aswSP) -- C:\Windows\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswTdi) -- C:\Windows\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (aswMonFlt) -- C:\Windows\System32\drivers\aswMonFlt.sys (AVAST Software)
DRV - (aswRdr) -- C:\Windows\System32\drivers\aswRdr2.sys (AVAST Software)
DRV - (aswFsBlk) -- C:\Windows\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (NisDrv) -- C:\Windows\System32\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV - (PSI) -- C:\Windows\System32\drivers\psi_mf.sys (Secunia)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (TsUsbGD) -- C:\Windows\System32\drivers\TsUsbGD.sys (Microsoft Corporation)
DRV - (Serial) -- C:\Windows\System32\drivers\serial.sys (Brother Industries Ltd.)
DRV - (netw5v32) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (SFEP) -- C:\Windows\System32\drivers\SFEP.sys (Sony Corporation)
DRV - (usbvm321) -- C:\Windows\System32\drivers\usbvm321.sys (Vimicro Corporation)
DRV - (HSF_DPV) -- C:\Windows\System32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\Windows\System32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\Windows\System32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
IE - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C5 13 7D 96 EB 4F CD 01  [binary data]
IE - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000\..\SearchScopes,DefaultScope = {918D9B23-BD15-415F-98E3-28D682F032A1}
IE - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000\..\SearchScopes\{918D9B23-BD15-415F-98E3-28D682F032A1}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
IE - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "http://www.trojaner-board.de/123425-...2-1723-a.html"
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\AVAST Software\Avast\WebRep\FF [2012.08.31 23:29:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.08.29 22:21:45 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 15.0\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2012.07.17 22:35:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 15.0\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2012.06.26 18:38:57 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions
[2012.06.26 18:38:57 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions\home2@tomtom.com
[2012.08.25 22:37:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\7tlnqvsc.default\extensions
[2012.07.17 22:33:55 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.08.31 23:29:52 | 000,000,000 | ---D | M] (avast! WebRep) -- C:\PROGRAM FILES\AVAST SOFTWARE\AVAST\WEBREP\FF
[2012.08.29 22:21:44 | 000,266,720 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.07.14 02:45:08 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.08.29 22:21:20 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.07.14 02:45:08 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.14 02:45:08 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.14 02:45:08 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.14 02:45:07 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.09.01 10:48:29 | 000,444,231 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 127.0.0.1	www.123fporn.info
O1 - Hosts: 15256 more lines...
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
O4 - HKLM..\Run: [avast] C:\Program Files\AVAST Software\Avast\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [IntelliPoint] c:\Program Files\Microsoft Device Center\ipoint.exe (Microsoft Corporation)
O4 - HKLM..\Run: [IntelliType Pro] c:\Program Files\Microsoft Device Center\itype.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)
O4 - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2964658308-1819922075-3525597191-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3B972328-FCF7-44D2-B3F2-97A86128809E}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CF4F0979-C493-48BD-B8B6-B0FC72B9F469}: DhcpNameServer = 192.168.2.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.09.07 07:54:41 | 000,599,040 | ---- | C] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe
[2012.09.05 18:07:20 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012.09.05 18:07:20 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\temp
[2012.09.05 18:06:31 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2012.09.05 17:33:21 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2012.09.05 17:33:21 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2012.09.05 17:33:21 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2012.09.05 17:33:08 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.09.05 17:32:46 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012.09.02 19:01:40 | 000,000,000 | R--D | C] -- C:\Users\***\Desktop\Quarantäne
[2012.09.02 16:25:12 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Windows Live
[2012.09.01 10:29:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
[2012.09.01 10:28:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2012.09.01 10:28:47 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
[2012.09.01 10:09:09 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2012.08.31 23:30:50 | 000,021,256 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswFsBlk.sys
[2012.08.31 23:30:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\avast! Free Antivirus
[2012.08.31 23:30:49 | 000,355,632 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswSP.sys
[2012.08.31 23:30:46 | 000,044,784 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswRdr2.sys
[2012.08.31 23:30:45 | 000,054,232 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswTdi.sys
[2012.08.31 23:30:44 | 000,729,752 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswSnx.sys
[2012.08.31 23:30:39 | 000,058,680 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswMonFlt.sys
[2012.08.31 23:29:39 | 000,041,224 | ---- | C] (AVAST Software) -- C:\Windows\avastSS.scr
[2012.08.31 23:29:38 | 000,227,648 | ---- | C] (AVAST Software) -- C:\Windows\System32\aswBoot.exe
[2012.08.31 23:29:20 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software
[2012.08.31 23:29:20 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2012.08.31 19:52:51 | 000,246,760 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\javaws.exe
[2012.08.31 19:52:41 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\javaw.exe
[2012.08.31 19:52:41 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\java.exe
[2012.08.31 19:52:41 | 000,093,672 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\WindowsAccessBridge.dll
[2012.08.31 19:52:28 | 000,000,000 | ---D | C] -- C:\Program Files\Java
[2012.08.30 19:46:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BurnAware Free
[2012.08.30 19:46:13 | 000,000,000 | ---D | C] -- C:\Program Files\BurnAware Free
[2012.08.29 22:17:33 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2012.08.29 22:17:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.29 22:17:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.29 22:17:06 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.08.29 22:17:06 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.08.29 21:58:36 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2012.08.16 19:59:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft-Maus- und Tastatur-Center
[2012.08.16 19:58:02 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Device Center
[2012.08.16 19:54:52 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012.08.16 19:54:50 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012.08.16 19:54:50 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2012.08.16 19:54:49 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012.08.16 19:54:48 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2012.08.16 19:54:47 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012.08.16 19:54:45 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2012.08.16 19:00:58 | 000,400,896 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\srcore.dll
[2012.08.16 19:00:55 | 002,345,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012.08.16 19:00:45 | 000,041,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\browcli.dll
 
========== Files - Modified Within 30 Days ==========
 
[2012.09.07 07:52:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.09.07 07:51:49 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.09.07 07:51:28 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.09.06 23:28:48 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.09.06 18:25:40 | 000,021,664 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.09.06 18:25:40 | 000,021,664 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.09.06 18:22:44 | 000,618,614 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.09.06 18:22:44 | 000,582,812 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.09.06 18:22:44 | 000,123,226 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.09.06 18:22:44 | 000,099,608 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.09.06 18:18:24 | 000,027,240 | ---- | M] () -- C:\Users\***\AppData\Roaming\nvModes.001
[2012.09.06 18:17:49 | 1609,179,136 | -HS- | M] () -- C:\hiberfil.sys
[2012.09.03 19:47:28 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable
[2012.09.03 18:54:56 | 000,599,040 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe
[2012.09.02 16:20:00 | 000,005,120 | ---- | M] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.09.02 16:17:03 | 000,268,328 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.09.01 11:59:37 | 000,000,512 | ---- | M] () -- C:\MBR.dat
[2012.09.01 10:48:29 | 000,444,231 | R--- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2012.09.01 10:09:02 | 219,597,727 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012.08.31 23:35:19 | 000,002,577 | ---- | M] () -- C:\Windows\System32\config.nt
[2012.08.31 19:52:34 | 000,093,672 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\WindowsAccessBridge.dll
[2012.08.31 19:52:31 | 000,246,760 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\javaws.exe
[2012.08.31 19:52:31 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\javaw.exe
[2012.08.31 19:52:31 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\java.exe
[2012.08.31 19:52:30 | 000,821,736 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\npDeployJava1.dll
[2012.08.31 19:52:30 | 000,746,984 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\deployJava1.dll
[2012.08.31 17:05:35 | 000,000,197 | ---- | M] () -- C:\Users\***\AppData\Roaming\burnaware.ini
[2012.08.28 23:36:22 | 000,696,520 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.08.28 23:36:22 | 000,073,416 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012.08.21 11:13:15 | 000,729,752 | ---- | M] (AVAST Software) -- C:\Windows\System32\drivers\aswSnx.sys
[2012.08.21 11:13:15 | 000,355,632 | ---- | M] (AVAST Software) -- C:\Windows\System32\drivers\aswSP.sys
[2012.08.21 11:13:15 | 000,054,232 | ---- | M] (AVAST Software) -- C:\Windows\System32\drivers\aswTdi.sys
[2012.08.21 11:13:14 | 000,058,680 | ---- | M] (AVAST Software) -- C:\Windows\System32\drivers\aswMonFlt.sys
[2012.08.21 11:13:14 | 000,044,784 | ---- | M] (AVAST Software) -- C:\Windows\System32\drivers\aswRdr2.sys
[2012.08.21 11:13:13 | 000,021,256 | ---- | M] (AVAST Software) -- C:\Windows\System32\drivers\aswFsBlk.sys
[2012.08.21 11:12:33 | 000,041,224 | ---- | M] (AVAST Software) -- C:\Windows\avastSS.scr
[2012.08.21 11:12:23 | 000,227,648 | ---- | M] (AVAST Software) -- C:\Windows\System32\aswBoot.exe
 
========== Files Created - No Company Name ==========
 
[2012.09.05 17:33:21 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012.09.05 17:33:21 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012.09.05 17:33:21 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012.09.05 17:33:21 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012.09.05 17:33:21 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2012.09.03 19:47:28 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable
[2012.09.01 11:59:37 | 000,000,512 | ---- | C] () -- C:\MBR.dat
[2012.09.01 10:09:02 | 219,597,727 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2012.08.30 20:24:03 | 000,000,197 | ---- | C] () -- C:\Users\***\AppData\Roaming\burnaware.ini
[2012.07.17 22:24:50 | 000,027,240 | ---- | C] () -- C:\Users\***\AppData\Roaming\nvModes.001
[2012.07.17 20:23:24 | 000,005,120 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.12 22:41:47 | 000,027,240 | ---- | C] () -- C:\Users\***\AppData\Roaming\nvModes.dat
[2012.07.02 20:28:06 | 000,112,640 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2012.06.09 19:21:56 | 000,178,688 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2012.05.30 11:52:20 | 004,305,920 | ---- | C] () -- C:\Windows\System32\x264vfw.dll
[2012.05.21 18:28:58 | 000,155,648 | ---- | C] () -- C:\Windows\System32\mlc.dll
[2011.12.07 23:32:24 | 000,216,064 | ---- | C] ( ) -- C:\Windows\System32\lagarith.dll
[2011.04.12 03:30:05 | 000,618,614 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2011.04.12 03:30:05 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2011.04.12 03:30:05 | 000,123,226 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2011.04.12 03:30:05 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
 
========== LOP Check ==========
 
[2012.07.17 19:41:57 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\pdfforge
[2012.07.17 19:47:24 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Thunderbird
[2012.06.26 18:38:56 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\TomTom
[2012.08.31 17:10:26 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Trillian
[2012.07.17 20:16:43 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Win7codecs
[2009.07.14 06:53:46 | 000,010,712 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >
         
Extras.txt
Code:
ATTFilter
OTL Extras logfile created on: 07.09.2012 08:02:33 - Run 2
OTL by OldTimer - Version 3.2.60.0     Folder = C:\Users\***\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,34 Gb Available Physical Memory | 67,29% Memory free
4,00 Gb Paging File | 3,10 Gb Available in Paging File | 77,54% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 40,00 Gb Total Space | 25,03 Gb Free Space | 62,58% Space Free | Partition Type: NTFS
Drive D: | 100,05 Gb Total Space | 2,61 Gb Free Space | 2,61% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-2964658308-1819922075-3525597191-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{406E6F43-2143-4D7F-92D4-26F99D29C07F}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{47678339-E01C-4D21-925E-D306B38FF5E1}D:\programme\vlcportable\app\vlc\vlc.exe" = protocol=6 | dir=in | app=d:\programme\vlcportable\app\vlc\vlc.exe | 
"TCP Query User{5CC977F9-8A1F-4524-A440-697E3B26A6E6}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{7C7C33E4-7CCE-4D38-AFCF-AF9B6F6E062E}C:\program files\trillian\plugins\skypekit.exe" = protocol=6 | dir=in | app=c:\program files\trillian\plugins\skypekit.exe | 
"TCP Query User{8D1A5E65-9FF2-4B08-8CDC-019660A18A22}C:\program files\java\jre7\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre7\bin\javaw.exe | 
"TCP Query User{BAEF1DF1-A287-4EC0-8351-13A198F7B9D0}C:\program files\trillian\plugins\skypekit.exe" = protocol=6 | dir=in | app=c:\program files\trillian\plugins\skypekit.exe | 
"TCP Query User{ECAFD4BD-999E-456E-AA72-B09C786F9D6F}C:\program files\trillian\trillian.exe" = protocol=6 | dir=in | app=c:\program files\trillian\trillian.exe | 
"UDP Query User{28026D2D-BBB8-4B9B-9BFA-65F553394A28}C:\program files\java\jre7\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre7\bin\javaw.exe | 
"UDP Query User{2B2CE0C7-42C1-437D-B3D2-B8527D496071}D:\programme\vlcportable\app\vlc\vlc.exe" = protocol=17 | dir=in | app=d:\programme\vlcportable\app\vlc\vlc.exe | 
"UDP Query User{4BAE4D2C-49AC-42BA-B549-F652B5CEEC46}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{7D3FB06E-54D0-43F2-86ED-FADD99E6C405}C:\program files\trillian\plugins\skypekit.exe" = protocol=17 | dir=in | app=c:\program files\trillian\plugins\skypekit.exe | 
"UDP Query User{B9DEEBB6-FBF8-491A-B3FB-162C93DC69AB}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{BCFC918D-9CC7-4646-B1EA-F61ADDD0B5F3}C:\program files\trillian\plugins\skypekit.exe" = protocol=17 | dir=in | app=c:\program files\trillian\plugins\skypekit.exe | 
"UDP Query User{E0D469A0-DF1F-4AD0-ACA6-6364A2A8DB7A}C:\program files\trillian\trillian.exe" = protocol=17 | dir=in | app=c:\program files\trillian\trillian.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0F842B77-56EA-4AAF-8295-81A022350B5E}" = Microsoft Security Client
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{26CE484D-2E8E-40D5-B251-158133114C69}" = TomTom HOME
"{28E82311-8616-11E1-BEB0-B8AC6F97B88E}" = Google Earth
"{3A94F54D-A8A4-4B82-B346-92B4D56A2708}" = VESx86
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{63C43435-F428-42BA-8E7B-5848749D9262}" = SSLx86
"{6A75A548-F5E3-4021-9CF9-87F58EA5E556}" = VPMx86
"{73D8886A-D416-4687-B609-0D3836BA410C}" = VAIO Event Service
"{803E4FA5-A940-4420-B89D-A8BC2E160247}" = 
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C0CAA7A-3272-4991-A808-2C7559DE3409}" = Win7codecs
"{912B04B3-7C7C-4929-AE68-EC2A4CCB4E73}" = Microsoft-Maus- und Tastatur-Center
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"avast" = avast! Free Antivirus
"BurnAware Free_is1" = BurnAware Free 5.1
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_20030003" = HDAUDIO SoftV92 Data Fax Modem with SmartCP
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Mouse and Keyboard Center" = Microsoft-Maus- und Tastatur-Center
"Microsoft Security Client" = Microsoft Security Essentials
"Mozilla Firefox 15.0 (x86 de)" = Mozilla Firefox 15.0 (x86 de)
"Mozilla Thunderbird 15.0 (x86 de)" = Mozilla Thunderbird 15.0 (x86 de)
"NVIDIA Drivers" = NVIDIA Drivers
"Secunia PSI" = Secunia PSI (3.0.0.2004)
"Trillian" = Trillian
"WinRAR archiver" = WinRAR 4.20 (32-Bit)
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 02.09.2012 10:18:01 | Computer Name = *** | Source = WinMgmt | ID = 10
Description = 
 
Error - 02.09.2012 12:21:12 | Computer Name = *** | Source = WinMgmt | ID = 10
Description = 
 
Error - 03.09.2012 13:02:27 | Computer Name = *** | Source = WinMgmt | ID = 10
Description = 
 
Error - 03.09.2012 13:50:21 | Computer Name = *** | Source = WinMgmt | ID = 10
Description = 
 
Error - 03.09.2012 14:42:15 | Computer Name = *** | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\spybot
 - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der Wert "*" des "language"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 03.09.2012 15:24:10 | Computer Name = *** | Source = WinMgmt | ID = 10
Description = 
 
Error - 05.09.2012 11:50:55 | Computer Name = *** | Source = WinMgmt | ID = 10
Description = 
 
Error - 05.09.2012 12:10:07 | Computer Name = *** | Source = WinMgmt | ID = 10
Description = 
 
Error - 05.09.2012 13:33:34 | Computer Name = *** | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\spybot
 - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der Wert "*" des "language"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 06.09.2012 12:18:32 | Computer Name = *** | Source = WinMgmt | ID = 10
Description = 
 
[ System Events ]
Error - 03.09.2012 15:23:27 | Computer Name = *** | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?03.?09.?2012 um 21:22:22 unerwartet heruntergefahren.
 
Error - 05.09.2012 11:34:49 | Computer Name = *** | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

	Neue
 Signaturversion:      Vorherige Signaturversion: 1.135.389.0     Aktualisierungsquelle: %%859

	Aktualisierungsphase:
 %%852     Quellpfad: hxxp://www.microsoft.com     Signaturtyp: %%800     Aktualisierungstyp: %%803

	Benutzer:
 NT-AUTORITÄT\SYSTEM     Aktuelle Modulversion:      Vorherige Modulversion: 1.1.8704.0     Fehlercode:
 0x8024402c     Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
 Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
 unter "Hilfe und Support". 
 
Error - 05.09.2012 11:34:55 | Computer Name = *** | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 05.09.2012 11:38:05 | Computer Name = *** | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 05.09.2012 11:41:27 | Computer Name = *** | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 05.09.2012 11:58:11 | Computer Name = *** | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 05.09.2012 12:01:58 | Computer Name = *** | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 05.09.2012 12:05:13 | Computer Name = *** | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 06.09.2012 17:19:42 | Computer Name = *** | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst Wlansvc erreicht.
 
Error - 06.09.2012 17:19:43 | Computer Name = *** | Source = DCOM | ID = 10010
Description = 
 
 
< End of report >
         

Alt 07.09.2012, 14:08   #12
Larusso
/// Selecta Jahrusso
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 07.09.2012, 17:45   #13
LlN
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Ergebnis von Eset Online Scanner: No threats found.

Alt 08.09.2012, 18:15   #14
Larusso
/// Selecta Jahrusso
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Ich finde da nichts.

Wenn es keine Probleme mehr gibt, sind wir hier fertig.



Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
ATTFilter
Combofix /Uninstall
         


Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.




Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.



Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher, immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Eine out of date Anti Virensoftware ist nutzlos!


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 13.09.2012, 15:32   #15
Larusso
/// Selecta Jahrusso
 
MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Standard

MSE: Sirefef, Necurs, Fareit und CVE-2012-1723



Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu MSE: Sirefef, Necurs, Fareit und CVE-2012-1723
cve-2012-1723, fareit, necurs, nicht sicher, sirefef



Ähnliche Themen: MSE: Sirefef, Necurs, Fareit und CVE-2012-1723


  1. Exp/cve-2012-1723.a.5273
    Plagegeister aller Art und deren Bekämpfung - 10.10.2013 (6)
  2. Kaspersky findet 2 trojanische Programme (Windows 7): HEUR:Exploit.Java.CVE-2012-1723.gen und Exploit.Java.CVE-2012-1723.nh
    Plagegeister aller Art und deren Bekämpfung - 18.09.2013 (14)
  3. Exp/cve-2012-1723.a1
    Plagegeister aller Art und deren Bekämpfung - 18.07.2013 (13)
  4. Exp/cve-2012-1723.pb
    Plagegeister aller Art und deren Bekämpfung - 11.07.2013 (9)
  5. Exp/cve-2012-1723.a1
    Plagegeister aller Art und deren Bekämpfung - 05.07.2013 (28)
  6. Trojaner TR/Sirefef.BC.57, TR/Sirefef.AG.9, TR/ATRAPS.Gen2, TR/Necurs.A.71 und SpyHunter 4 auf Rechner
    Log-Analyse und Auswertung - 07.05.2013 (7)
  7. Mit Avira tr-atraps.gen2 ; TR/necurs.a.71 ; TR/Sirefef.a.78
    Log-Analyse und Auswertung - 05.05.2013 (14)
  8. Unbekanntes Programm: Prozess iftutilx.exe gestoppt – von MSE geblockt CVE-2012-1723.gen + PWS:Win32/Fareit
    Plagegeister aller Art und deren Bekämpfung - 15.04.2013 (18)
  9. Exploit Java CVE-2012-1723
    Plagegeister aller Art und deren Bekämpfung - 20.03.2013 (13)
  10. Infektion durch Trojan.Agent.ED, EXP/2012-1723.GE, TR/PSW.Fareit.1142 und weitere Malware
    Plagegeister aller Art und deren Bekämpfung - 19.03.2013 (35)
  11. EXP/2012-1723.FY.1, EXP/2012-1723.FX.1 gefunden, was tun?
    Plagegeister aller Art und deren Bekämpfung - 20.12.2012 (3)
  12. EXP/CVE-2012-1723.A.300 und EXP/2012-1723.FO.2
    Plagegeister aller Art und deren Bekämpfung - 01.11.2012 (77)
  13. EXP/2012-1723 und weitere Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (3)
  14. Virus EXP/CVE-2012-1723.A.110
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (7)
  15. Exp/cve-2012-1723.br
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (10)
  16. Avira findet EXP/CVE-2012-1723.A28
    Log-Analyse und Auswertung - 10.08.2012 (5)
  17. Sirefef und Fareit löschen (verstecken?) Dateien; System unbrauchbar
    Plagegeister aller Art und deren Bekämpfung - 25.01.2012 (10)

Zum Thema MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 - Hallo, vor ca. einer Woche hat MSE beim Surfen per Firefox plötzlich angefangen Alarm zu schlagen. Anschließend ließ ich den Rechner durchscannen mit folgende Fünde: PWS:Win32/Fareit.gen!E TrojanDropper:Win32/Sirefef.gen!A TrojanDropper:Win32/Necurs.gen!A Trojan:Win32/Sirefef Trojan:Win32/Sirefef.AQ - MSE: Sirefef, Necurs, Fareit und CVE-2012-1723...
Archiv
Du betrachtest: MSE: Sirefef, Necurs, Fareit und CVE-2012-1723 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.