Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Zufall oder gehackt ??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.07.2007, 22:38   #16
ordell1234
 
Zufall oder gehackt ?? - Standard

Zufall oder gehackt ??



Zitat:
Zitat von Franz1968 Beitrag anzeigen
hast du mal SmitfraudFix oder SmitRem ausgeführt? Die process.exe könnte damit zu tun haben.


In der smidfraudfix.cmd finden sich folgende Einträge:
Zitat:
if not exist %syspath%\Process.exe copy Process.exe %syspath%\Process.exe >NUL
if not exist %syspath%\swreg.exe copy swreg.exe %syspath%\swreg.exe >NUL
if not exist %syspath%\swsc.exe copy swsc.exe %syspath%\swsc.exe >NUL
if not exist %syspath%\SrchSTS.exe copy SrchSTS.exe %syspath%\SrchSTS.exe >NUL
if not exist %syspath%\dumphive.exe copy dumphive.exe %syspath%\dumphive.exe >NUL
if not exist %syspath%\swxcacls.exe copy swxcacls.exe %syspath%\swxcacls.exe >NUL
Die Process.exe ist identisch.
SHA1: 89036847 3ECBC404 DCD42FF0 C6C38397 102F59C0
MD5: 7397F6EE 4A9601A1 23B645C0 CD428017

@Markus_33: Die Datei, die du nach Ausführung von escan und find.bat bitte postest, nennt sich escan_neu.txt und befindet sich im Ordner bases_x. Gruß

Alt 12.07.2007, 22:43   #17
ordell1234
 
Zufall oder gehackt ?? - Standard

Zufall oder gehackt ??



sry, Doppelposting
__________________


Alt 13.07.2007, 21:09   #18
Markus_33
 
Zufall oder gehackt ?? - Standard

Zufall oder gehackt ??



Hallo Franz, hallo Ordell1234

Ordell: danke für Deinen Beitrag !, d.h., wenn ich Dich richtig verstehe, sind process.exe usw. von smidfraudfix manipuliert und harmlos ?
escan_neu.txt war nach Auswertung von find.bat leider 0 byte gross, ich lasse find.bat aber gleich nochmal laufen

Franz: eins muss man Dir lassen, Du gibts einfach nicht auf :-)
So der Log-Auszug von Combofix
(unter HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services stehen übrigens 'Aei2iadafs' und 'Nuipsh', das waren die zwei unbekannten Dienste, bei denen ich Dich schon mal um Rat bat :-)

2007-07-13 20:04 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-10 20:58 524,288 --ah----- C:\DOKUME~1\***\NTUSER.DAT
2007-07-10 20:58 <DIR> dr-h----- C:\DOKUME~1\***\Anwendungsdaten
2007-07-10 20:58 <DIR> dr------- C:\DOKUME~1\***\Startmen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Vorlagen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Netzwerkumgebung
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Lokale Einstellungen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Druckumgebung
2007-07-10 20:58 <DIR> d-------- C:\DOKUME~1\***\Favoriten
2007-07-10 20:52 <DIR> d-------- C:\bases
2007-07-10 19:26 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-07-10 19:26 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-07-10 19:26 22,168 --a------ C:\WINDOWS\SYSTEM32\imsinstall_loc0407.dll
2007-07-10 19:26 18,072 --a------ C:\WINDOWS\SYSTEM32\imslsp_install_loc0407.dll
2007-07-10 19:26 11,264 --a------ C:\WINDOWS\SYSTEM32\SpOrder.dll
2007-07-10 19:26 1,087,216 --a------ C:\WINDOWS\SYSTEM32\zpeng24.dll
2007-07-09 11:32 <DIR> d-------- C:\bases_x


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-13 17:22:01 1,049 ----a-w C:\WINDOWS\nsreg.dat
2007-07-10 17:27:54 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-07-08 13:43:02 -------- d-----w C:\Programme\Spyware Doctor
2007-07-07 21:14:06 83,536 ----a-w C:\WINDOWS\system32\drivers\iksyssec.sys
2007-07-07 21:14:03 59,984 ----a-w C:\WINDOWS\system32\drivers\iksysflt.sys
2007-07-07 21:13:39 26,064 ----a-w C:\WINDOWS\system32\drivers\kcom.sys
2007-07-07 21:13:32 52,304 ----a-w C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-07-07 21:13:30 39,248 ----a-w C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-06-17 15:55:20 -------- d-----w C:\Programme\Google
2007-06-10 10:14:50 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-08 18:31:14 -------- d-----w C:\Programme\Basilisk II JIT
2007-06-05 18:54:07 -------- d-----w C:\DOKUME~1\***\ANWEND~1\Smith Micro
2007-06-05 09:12:48 -------- d-----w C:\Programme\7-Zip
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-21 14:39:07 28,832 ----a-w C:\DOKUME~1\***\ANWEND~1\GDIPFONTCACHEV1.DAT


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 20:38 63128 --a------ C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 22:10]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
"C:\Programme\Softwin\BitDefender8\bdmcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]
"C:\Programme\Softwin\BitDefender8\bdnagent.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\diagent]
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
C:\WINDOWS\UpdReg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Symoteiosh"=3 (0x3)
"Macromedia Licensing Service"=3 (0x3)
"IDriverT"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"Aei2iadafs"=3 (0x3)
"Nuipsh"=3 (0x3)
"sdAuxService"=3 (0x3)
"sdCoreService"=3 (0x3)
"rpcapd"=3 (0x3)


Contents of the 'Scheduled Tasks' folder
2007-07-06 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-13 20:13:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0
__________________

Geändert von Markus_33 (13.07.2007 um 21:22 Uhr)

Antwort

Themen zu Zufall oder gehackt ??
adresse, angezeigt, bestellt, editiere, email, gehackt, google, hijack, hijackthis, keylogger, links, mail, russische, vorschläge, zufall



Ähnliche Themen: Zufall oder gehackt ??


  1. keineantwortadresse@web.de Account gehackt oder Problem auf Rechner?
    Plagegeister aller Art und deren Bekämpfung - 03.03.2015 (10)
  2. Download Protect durch Zufall gefunden, was soll ich machen.
    Log-Analyse und Auswertung - 04.07.2014 (3)
  3. Laptop gehackt oder nicht ? Auswertung von Logfiles
    Log-Analyse und Auswertung - 08.05.2013 (1)
  4. Gmx Mail Account gehackt? Habe ich einen Trojaner oder einen Spybot auf dem Rechner?
    Log-Analyse und Auswertung - 01.05.2013 (18)
  5. Wird mein PC gehackt oder ist er verseucht?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (1)
  6. Xbox-Live Account gehackt oder ist mein System schmutzig?
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (9)
  7. pc und oder.Handy.gehackt
    Netzwerk und Hardware - 26.01.2012 (1)
  8. Hijackthis.de gehackt oder fragwürdige Werbung?
    Überwachung, Datenschutz und Spam - 08.10.2011 (22)
  9. Wow Account gehackt hab ich einen Keylogger oder Trojaner
    Log-Analyse und Auswertung - 18.04.2011 (1)
  10. [Gehackt]Gehackt dank nem kleinen Bruder
    Plagegeister aller Art und deren Bekämpfung - 03.02.2011 (2)
  11. Spambot an Bord? Wurde ich gehackt, oder ist es ein Trojaner/Virus?
    Log-Analyse und Auswertung - 07.07.2010 (1)
  12. WOW gehackt worden. Bin ich jetzt clean oder immer noch Kelogger ?
    Log-Analyse und Auswertung - 03.02.2010 (0)
  13. ICQ - gehackt?? Oder Trojaner?
    Log-Analyse und Auswertung - 06.08.2009 (4)
  14. Forum Demo gehackt ? oder blöder Spass ?
    Diskussionsforum - 25.02.2008 (5)
  15. Gehackt oder Hoax - bitte um Aufklärung.
    Plagegeister aller Art und deren Bekämpfung - 25.08.2007 (1)
  16. Gehackt oder Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.09.2003 (26)

Zum Thema Zufall oder gehackt ?? - Zitat: Zitat von Franz1968 hast du mal SmitfraudFix oder SmitRem ausgeführt? Die process.exe könnte damit zu tun haben. In der smidfraudfix.cmd finden sich folgende Einträge: Zitat: if not exist %syspath%\Process.exe - Zufall oder gehackt ??...
Archiv
Du betrachtest: Zufall oder gehackt ?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.