| |
| |||||||
Log-Analyse und Auswertung: "@schrauber" (Trojan.Agent)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
27.09.2012, 15:02
| #1 |
| /// the machine /// TB-Ausbilder    |  "@schrauber" (Trojan.Agent) wirds nit 
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
27.09.2012, 15:35
| #2 |
 | "@schrauber" (Trojan.Agent) bin zurück, folgende Log wurde erstellt:
__________________Code:
ATTFilter ComboFix 12-09-23.02 - xxx 27.09.2012 16:17:49.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1587 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-08-27 bis 2012-09-27 ))))))))))))))))))))))))))))))
.
.
2012-09-26 17:33 . 2012-09-26 17:33 -------- d-----w- c:\programme\ESET
2012-09-16 12:21 . 2012-09-16 12:21 -------- d-----w- c:\dokumente und einstellungen\Gast 3\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2012-09-14 15:58 . 2012-09-14 15:58 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Yahoo!
2012-09-03 22:44 . 2012-09-03 22:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2012-09-03 22:42 . 2012-09-03 22:42 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-09-03 22:42 . 2012-09-03 22:42 93672 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2012-09-03 22:42 . 2012-09-03 22:42 -------- d-----w- c:\programme\Java
2012-08-29 19:16 . 2008-04-13 22:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2012-08-29 19:16 . 2008-04-13 22:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2012-08-29 19:16 . 2010-01-05 09:31 114688 ----a-w- c:\windows\system32\drivers\ZTEusbnet.sys
2012-08-29 19:16 . 2010-01-05 09:31 105088 ----a-w- c:\windows\system32\drivers\ZTEusbser6k.sys
2012-08-29 19:16 . 2010-01-05 09:31 9216 ----a-w- c:\windows\system32\drivers\massfilter.sys
2012-08-29 19:16 . 2010-01-05 09:31 105088 ----a-w- c:\windows\system32\drivers\ZTEusbnmea.sys
2012-08-29 19:16 . 2010-01-05 09:31 105088 ----a-w- c:\windows\system32\drivers\ZTEusbmdm6k.sys
2012-08-29 19:16 . 2012-08-29 19:16 -------- d-----w- c:\windows\system32\SupportAppCB
2012-08-29 19:16 . 2012-08-29 19:17 -------- d-----w- c:\programme\Join Air
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-07 15:04 . 2012-05-28 14:10 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-09-03 22:42 . 2012-05-31 20:39 821736 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-09-03 22:42 . 2012-05-31 20:39 746984 ----a-w- c:\windows\system32\deployJava1.dll
2012-08-27 19:24 . 2012-05-25 08:19 73416 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-27 19:24 . 2012-05-25 08:19 696520 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-06 13:59 . 2006-07-27 01:48 78336 ----a-w- c:\windows\system32\browser.dll
2012-07-04 14:05 . 2006-07-27 09:01 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2006-07-27 01:49 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-07-02 17:39 . 2006-07-27 01:49 916992 ----a-w- c:\windows\system32\wininet.dll
2012-07-02 17:39 . 2006-07-27 01:49 43520 ------w- c:\windows\system32\licmgr10.dll
2012-07-02 17:39 . 2006-07-27 01:49 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-07-02 12:05 . 2006-07-27 01:48 385024 ------w- c:\windows\system32\html.iec
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-08 7561216]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"PrepareYourVAIO"="c:\programme\Sony\Prepare your VAIO\PYVAlert.exe" [2005-01-21 118784]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"VAIO Update 5"="c:\programme\Sony\VAIO Update 5\VAIOUpdt.exe" [2012-01-17 1015912]
"UIExec"="c:\programme\Join Air\UIExec.exe" [2010-04-27 138072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2011-05-04 17:54 551296 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2006-03-09 12:51 73728 ----a-w- c:\windows\system32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISBMgr.exe]
2004-02-20 12:12 32768 ----a-w- c:\programme\Sony\ISB Utility\ISBMgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ7M\\ICQ.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [24.05.2012 19:57 36000]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [12.08.2011 01:38 116608]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.05.2012 19:57 86224]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
R2 UI Assistant Service;UI Assistant Service;c:\programme\Join Air\AssistantServices.exe [29.08.2012 21:16 247152]
R3 SonyImgF;Sony Image Conversion Filter Driver;c:\windows\system32\drivers\SonyImgF.sys [27.07.2006 03:50 30080]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [27.07.2006 03:50 226304]
R3 VUAgent;VUAgent;c:\programme\Sony\VAIO Update Common\VUAgent.exe [13.01.2012 10:53 939624]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [29.08.2012 21:16 9216]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Google-Suche - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: RSS-Support-Site zu VAIO Information FLOW hinzufügen - c:\programme\Sony\VAIO Information FLOW\aiesc.html
IE: Verweisseiten - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
IE: {{781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - c:\programme\ICQ7M\ICQ.exe
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
TCP: DhcpNameServer = 192.168.178.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-27 16:23
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(892)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\VESWinlogon.dll
.
- - - - - - - > 'explorer.exe'(1784)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-09-27 16:25:14
ComboFix-quarantined-files.txt 2012-09-27 14:25
ComboFix2.txt 2012-09-23 13:01
.
Vor Suchlauf: 9 Verzeichnis(se), 57.098.440.704 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 57.099.354.112 Bytes frei
.
- - End Of File - - B1D397B227A335D05DEEB651AC390FAC
__________________ |
|
| Themen zu "@schrauber" (Trojan.Agent) |
| adobe, antivir, avg, avira, computer, desktop, einstellungen, excel, explorer, internet, internet browser, internet explorer, log, löschen, malware, opera, photoshop, programme, registrierungsdatenbank, scan, services.exe, software, superantispyware, windows, windows xp, winlogon.exe, yahoo |
Hybrid-Darstellung
