"@schrauber" (Trojan.Agent)

Johanna20 · 26.09.2012, 12:45

anbei die Log`s,
hoffe, ich habe alles richtig durchgeführt:

Adwcleaner nach Löschen:

Code:

ATTFilter

 AdwCleaner v2.002 - Datei am 09/23/2012 um 14:33:49 erstellt
# Aktualisiert am 16/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : xxx - VAIO
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\xxx\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\Gast xxx\Anwendungsdaten\AskToolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\Software\Description
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

*************************

AdwCleaner[R1].txt - [1340 octets] - [21/09/2012 20:37:17]
AdwCleaner[S1].txt - [1716 octets] - [23/09/2012 14:33:49]

########## EOF - C:\AdwCleaner[S1].txt - [1776 octets] ##########

Combofix:

Code:

ATTFilter

ComboFix 12-09-23.02 - xxx 23.09.2012  14:55:26.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1605 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-23 bis 2012-09-23  ))))))))))))))))))))))))))))))
.
.
2012-09-16 12:21 . 2012-09-16 12:21	--------	d-----w-	c:\dokumente und einstellungen\Gast 3\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2012-09-14 15:58 . 2012-09-14 15:58	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Yahoo!
2012-09-03 22:44 . 2012-09-03 22:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-09-03 22:42 . 2012-09-03 22:42	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-09-03 22:42 . 2012-09-03 22:42	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-09-03 22:42 . 2012-09-03 22:42	--------	d-----w-	c:\programme\Java
2012-08-29 19:16 . 2008-04-13 22:15	32128	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2012-08-29 19:16 . 2008-04-13 22:15	32128	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2012-08-29 19:16 . 2010-01-05 09:31	114688	----a-w-	c:\windows\system32\drivers\ZTEusbnet.sys
2012-08-29 19:16 . 2010-01-05 09:31	105088	----a-w-	c:\windows\system32\drivers\ZTEusbser6k.sys
2012-08-29 19:16 . 2010-01-05 09:31	9216	----a-w-	c:\windows\system32\drivers\massfilter.sys
2012-08-29 19:16 . 2010-01-05 09:31	105088	----a-w-	c:\windows\system32\drivers\ZTEusbnmea.sys
2012-08-29 19:16 . 2010-01-05 09:31	105088	----a-w-	c:\windows\system32\drivers\ZTEusbmdm6k.sys
2012-08-29 19:16 . 2012-08-29 19:16	--------	d-----w-	c:\windows\system32\SupportAppCB
2012-08-29 19:16 . 2012-08-29 19:17	--------	d-----w-	c:\programme\Join Air
2012-08-27 19:43 . 2012-08-27 19:43	--------	d-----w-	c:\dokumente und einstellungen\Gast 3\Anwendungsdaten\Yahoo!
2012-08-27 19:31 . 2012-08-27 19:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2012-08-27 19:26 . 2012-08-27 19:31	--------	d-----w-	c:\programme\Yahoo!
2012-08-24 16:03 . 2012-08-24 16:03	--------	d-----w-	c:\dokumente und einstellungen\Gast 3\Lokale Einstellungen\Anwendungsdaten\Toshiba
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-07 15:04 . 2012-05-28 14:10	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-03 22:42 . 2012-05-31 20:39	821736	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-09-03 22:42 . 2012-05-31 20:39	746984	----a-w-	c:\windows\system32\deployJava1.dll
2012-08-27 19:24 . 2012-05-25 08:19	73416	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-27 19:24 . 2012-05-25 08:19	696520	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-07-06 13:59 . 2006-07-27 01:48	78336	----a-w-	c:\windows\system32\browser.dll
2012-07-04 14:05 . 2006-07-27 09:01	139784	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2006-07-27 01:49	1866240	----a-w-	c:\windows\system32\win32k.sys
2012-07-02 17:39 . 2006-07-27 01:49	916992	----a-w-	c:\windows\system32\wininet.dll
2012-07-02 17:39 . 2006-07-27 01:49	43520	------w-	c:\windows\system32\licmgr10.dll
2012-07-02 17:39 . 2006-07-27 01:49	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-07-02 12:05 . 2006-07-27 01:48	385024	------w-	c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-08 7561216]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"PrepareYourVAIO"="c:\programme\Sony\Prepare your VAIO\PYVAlert.exe" [2005-01-21 118784]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"VAIO Update 5"="c:\programme\Sony\VAIO Update 5\VAIOUpdt.exe" [2012-01-17 1015912]
"UIExec"="c:\programme\Join Air\UIExec.exe" [2010-04-27 138072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2011-05-04 17:54	551296	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2006-03-09 12:51	73728	----a-w-	c:\windows\system32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISBMgr.exe]
2004-02-20 12:12	32768	----a-w-	c:\programme\Sony\ISB Utility\ISBMgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ7M\\ICQ.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [24.05.2012 19:57 36000]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [12.08.2011 01:38 116608]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.05.2012 19:57 86224]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
R2 UI Assistant Service;UI Assistant Service;c:\programme\Join Air\AssistantServices.exe [29.08.2012 21:16 247152]
R3 SonyImgF;Sony Image Conversion Filter Driver;c:\windows\system32\drivers\SonyImgF.sys [27.07.2006 03:50 30080]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [27.07.2006 03:50 226304]
R3 VUAgent;VUAgent;c:\programme\Sony\VAIO Update Common\VUAgent.exe [13.01.2012 10:53 939624]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [29.08.2012 21:16 9216]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Google-Suche - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: RSS-Support-Site zu VAIO Information FLOW hinzufügen - c:\programme\Sony\VAIO Information FLOW\aiesc.html
IE: Verweisseiten - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
IE: {{781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - c:\programme\ICQ7M\ICQ.exe
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
TCP: DhcpNameServer = 192.168.178.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-23 15:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(888)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\VESWinlogon.dll
.
Zeit der Fertigstellung: 2012-09-23  15:01:48
ComboFix-quarantined-files.txt  2012-09-23 13:01
.
Vor Suchlauf: 8 Verzeichnis(se), 57.333.813.248 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 57.433.350.144 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - CC25662BF54474772300D7F299C5789F

Nach AdwCleaner erhielt ich die Meldung nach Start des IE:

- ein Programm auf dem Computer hat die Einstellung für Standardsuchanbieter für IE beschädigt.
-Diese Einstellung wurde von IE auf den ursprünglichen Suchanbieter zurückgesetzt: Live Search (search.live.com)
-Es werden jetzt die Sucheinstellungen geöffnet, in denen Sie diese Einstellung änderen oder weitere Suchanbieter installieren können.

Außerdem erhielt ich den Hinweis, die Erkennung von PUPs in der Antivirsoftware zu aktivieren.
Diese Option kann ich leider nicht finden.

Nach Combofix kam beim Aufruf des Internet der Hinweis:

- IE ist nicht der Standardbrowser.

Hat das alles seine Richtigkeit?

Vielen Dank für die Hilfe.

VG Johanna

"@schrauber" (Trojan.Agent)

Log-Analyse und Auswertung: "@schrauber" (Trojan.Agent)

"@schrauber" (Trojan.Agent)

Ähnliche Themen: "@schrauber" (Trojan.Agent)