Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Habe ich einen Trojaner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.06.2008, 12:40   #1
Matze1992
 
Habe ich einen Trojaner? - Standard

Habe ich einen Trojaner?



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:25:17, on 15.06.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\winamp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Ventrilo\Ventrilo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Lineage II\system\l2.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O1 - Hosts: 75.125.96.162 nprotect.lineage2.com
O1 - Hosts: 75.125.96.162 l2testauthd.lineage2.com
O1 - Hosts: 75.125.96.162 l2authd.lineage2.com
O2 - BHO: (no name) - {4653F446-C1B0-4D8A-BD75-293CAECDAE4E} - C:\WINDOWS\System32\qoMGyAPf.dll
O2 - BHO: {ac357b3b-68fc-d258-d924-1ba19ac63148} - {84136ca9-1ab1-429d-852d-cf86b3b753ca} - C:\WINDOWS\System32\bpwlnips.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C5B8495C-20BC-493C-8613-E4F6E5790B88} - C:\WINDOWS\System32\efccYRJc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Winamp Media Player] winamp.exe
O4 - HKLM\..\Run: [BMe7d7919d] Rundll32.exe "C:\WINDOWS\System32\fgrrjsku.dll",s
O4 - HKLM\..\Run: [e4e4a201] rundll32.exe "C:\WINDOWS\System32\eisabmxv.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: efccYRJc - C:\WINDOWS\SYSTEM32\efccYRJc.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 4390 bytes

kann mir bitte jemand helfen ich weis nicht ob ich einen trojaner habe oder nicht.

Alt 15.06.2008, 12:56   #2
BataAlexander
> MalwareDB
 
Habe ich einen Trojaner? - Standard

Habe ich einen Trojaner?



Hast Du, leider mehr als einen.

ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________

__________________

Alt 15.06.2008, 16:10   #3
Matze1992
 
Habe ich einen Trojaner? - Standard

Habe ich einen Trojaner?



Hier der ComboFix log:

ComboFix 08-06-12.2 - Mathias 2008-06-15 16:58:26.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.777 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMe7d7919d.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bpwlnips.dll
C:\WINDOWS\system32\cbXPiHwV.dll
C:\WINDOWS\system32\ddcDuTmN.dll
C:\WINDOWS\system32\efccYRJc.dll
C:\WINDOWS\system32\eisabmxv.dll
C:\WINDOWS\system32\ektbflnq.ini
C:\WINDOWS\system32\fgrrjsku.dll
C:\WINDOWS\system32\fPAyGMoq.ini
C:\WINDOWS\system32\fPAyGMoq.ini2
C:\WINDOWS\system32\geBqpmlm.dll
C:\WINDOWS\system32\geBrrSLF.dll
C:\WINDOWS\system32\geBsqNec.dll
C:\WINDOWS\system32\geBtRiIy.dll
C:\WINDOWS\system32\iiffDSLC.dll
C:\WINDOWS\system32\irbciwry.dll
C:\WINDOWS\system32\jkkKcAqn.dll
C:\WINDOWS\system32\khfDUOHy.dll
C:\WINDOWS\system32\khfGwWQk.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\opnkhgEv.dll
C:\WINDOWS\system32\opnmKEvS.dll
C:\WINDOWS\system32\opnolMEx.dll
C:\WINDOWS\system32\oviycgmp.dll
C:\WINDOWS\system32\pdnsfums.dll
C:\WINDOWS\system32\pmgcyivo.ini
C:\WINDOWS\system32\qoMGyAPf.dll
C:\WINDOWS\system32\ssqNEttR.dll
C:\WINDOWS\system32\tuvTkiJA.dll
C:\WINDOWS\system32\tuvULDUn.dll
C:\WINDOWS\system32\urqNGaxw.dll
C:\WINDOWS\system32\vklijxdf.ini
C:\WINDOWS\system32\vtULBTlk.dll
C:\WINDOWS\system32\vxmbasie.ini
C:\WINDOWS\system32\yayaYonk.dll
C:\WINDOWS\winamp.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 ))))))))))))))))))))))))))))))
.

2008-06-15 13:24 . 2008-06-15 13:24 <DIR> d-------- C:\Programme\Trend Micro
2008-06-12 10:13 . 2008-06-12 10:13 2,232 --a------ C:\is15932.exe
2008-06-05 11:08 . 2008-06-05 11:09 <DIR> d-------- C:\WINDOWS\ShellNew
2008-05-30 14:40 . 2008-05-30 14:40 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-05-29 19:24 . 2008-06-05 11:10 400 --a------ C:\WINDOWS\ODBC.INI
2008-05-19 01:52 . 2008-05-19 01:52 <DIR> d-------- C:\WINDOWS\LogFiles
2008-05-17 09:16 . 2008-05-17 09:16 1,270 --a------ C:\m.bmp
2008-05-17 08:49 . 2008-05-17 08:49 1,270 --a------ C:\y.bmp
2008-05-17 08:34 . 2008-05-17 08:34 1,270 --a------ C:\g.bmp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-15 15:05 --------- d-----w C:\Programme\Steam
2008-06-15 12:54 --------- d-----w C:\Programme\Lineage II
2008-06-13 21:32 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\teamspeak2
2008-06-09 23:21 --------- d-s---w C:\Programme\Xfire
2008-06-09 21:30 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\Xfire
2008-06-09 19:49 --------- d-----w C:\Programme\Gamers.IRC
2008-06-02 15:53 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\TeamViewer
2008-05-24 21:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-18 23:51 65,536 ----a-w C:\WINDOWS\DUMP2683.tmp
2008-05-14 01:29 41,296 ----a-w C:\WINDOWS\system32\xfcodec.dll
2008-05-13 12:36 --------- d-----w C:\Programme\Foxit Software
2008-05-10 21:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-07 20:52 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\Ventrilo
2008-05-07 20:44 --------- d-----w C:\Programme\Ventrilo
2008-05-07 20:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-05 20:51 --------- d-----w C:\Programme\TeamViewer3
2008-05-05 13:31 --------- d-----w C:\Programme\R2Plays
2008-05-05 13:17 --------- d-----w C:\Programme\WinPcap
2008-05-02 21:38 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\InstallShield
2008-04-25 23:31 --------- d-----w C:\Programme\Xvid
2008-04-25 14:14 --------- d-----w C:\Programme\CyberLink
2008-04-25 14:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-04-23 16:13 --------- d-----w C:\Programme\Katzenscout Halterversion
2008-04-23 16:11 --------- d-----w C:\Programme\Java
2008-04-23 16:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-18 15:34 --------- d-----w C:\Programme\Winamp
2008-04-17 14:11 --------- d-----w C:\Programme\MSN Messenger
2008-04-14 14:15 558,142 ----a-w C:\WINDOWS\java\Packages\VZRH77T7.ZIP
2008-04-14 14:15 155,995 ----a-w C:\WINDOWS\java\Packages\8BZTBTJH.ZIP
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 03:43 13312]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-04-21 18:37 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-11 13:47 7311360]
"nwiz"="nwiz.exe" [2005-11-11 13:47 1519616 C:\WINDOWS\system32\nwiz.exe]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 03:52 36975]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-11-11 13:47 86016]
"Winamp Media Player"="winamp.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 03:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\System32\drivers\npf.sys [2007-11-06 22:22]

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 17:05:33
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-15 17:05:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-15 15:05:46

9 Verzeichnis(se), 12,099,805,184 Bytes frei
11 Verzeichnis(se), 12,286,713,856 Bytes frei

138

und hier der neue HJT log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]
__________________

Alt 15.06.2008, 16:15   #4
Silent sharK
 

Habe ich einen Trojaner? - Standard

Habe ich einen Trojaner?



Hallo Matze1992,
schonmal was von 'aktualisieren' gehört?
IE 6.0 & Windows XP SP1 x,x

Da wunderst du dich, das dein System kompromittiert ist...

gruß

Alt 15.06.2008, 16:26   #5
BataAlexander
> MalwareDB
 
Habe ich einen Trojaner? - Standard

Habe ich einen Trojaner?



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
C:\is15932.exe
C:\m.bmp
C:\y.bmp
C:\g.bmp

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winamp Media Player"=-
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Dann lade Dir das Service Pack 3 und installiere es.

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 15.06.2008, 16:57   #6
Matze1992
 
Habe ich einen Trojaner? - Standard

Habe ich einen Trojaner?



hier ist der log:

ComboFix 08-06-12.2 - Mathias 2008-06-15 17:50:36.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.786 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Mathias\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\g.bmp
C:\is15932.exe
C:\m.bmp
C:\y.bmp
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\g.bmp
C:\is15932.exe
C:\m.bmp
C:\y.bmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 ))))))))))))))))))))))))))))))
.

2008-06-15 13:24 . 2008-06-15 13:24 <DIR> d-------- C:\Programme\Trend Micro
2008-06-05 11:08 . 2008-06-05 11:09 <DIR> d-------- C:\WINDOWS\ShellNew
2008-05-30 14:40 . 2008-05-30 14:40 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-05-29 19:24 . 2008-06-05 11:10 400 --a------ C:\WINDOWS\ODBC.INI
2008-05-19 01:52 . 2008-05-19 01:52 <DIR> d-------- C:\WINDOWS\LogFiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-15 15:11 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\teamspeak2
2008-06-15 15:05 --------- d-----w C:\Programme\Steam
2008-06-15 12:54 --------- d-----w C:\Programme\Lineage II
2008-06-09 23:21 --------- d-s---w C:\Programme\Xfire
2008-06-09 21:30 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\Xfire
2008-06-09 19:49 --------- d-----w C:\Programme\Gamers.IRC
2008-06-02 15:53 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\TeamViewer
2008-05-24 21:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-18 23:51 65,536 ----a-w C:\WINDOWS\DUMP2683.tmp
2008-05-14 01:29 41,296 ----a-w C:\WINDOWS\system32\xfcodec.dll
2008-05-13 12:36 --------- d-----w C:\Programme\Foxit Software
2008-05-10 21:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-07 20:52 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\Ventrilo
2008-05-07 20:44 --------- d-----w C:\Programme\Ventrilo
2008-05-07 20:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-05 20:51 --------- d-----w C:\Programme\TeamViewer3
2008-05-05 13:31 --------- d-----w C:\Programme\R2Plays
2008-05-05 13:17 --------- d-----w C:\Programme\WinPcap
2008-05-02 21:38 --------- d-----w C:\Dokumente und Einstellungen\Mathias\Anwendungsdaten\InstallShield
2008-04-25 23:31 --------- d-----w C:\Programme\Xvid
2008-04-25 14:14 --------- d-----w C:\Programme\CyberLink
2008-04-25 14:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-04-23 16:13 --------- d-----w C:\Programme\Katzenscout Halterversion
2008-04-23 16:11 --------- d-----w C:\Programme\Java
2008-04-23 16:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-18 15:34 --------- d-----w C:\Programme\Winamp
2008-04-17 14:11 --------- d-----w C:\Programme\MSN Messenger
2008-04-14 14:15 558,142 ----a-w C:\WINDOWS\java\Packages\VZRH77T7.ZIP
2008-04-14 14:15 155,995 ----a-w C:\WINDOWS\java\Packages\8BZTBTJH.ZIP
.

((((((((((((((((((((((((((((( snapshot@2008-06-15_17.05.32.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-05 13:15:51 70,580 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-15 15:04:25 70,580 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-05-05 13:15:51 58,596 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-15 15:04:26 58,596 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-05-05 13:15:51 405,118 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-15 15:04:26 405,118 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-05-05 13:15:51 392,296 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-15 15:04:26 392,296 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 03:43 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-11 13:47 7311360]
"nwiz"="nwiz.exe" [2005-11-11 13:47 1519616 C:\WINDOWS\system32\nwiz.exe]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 03:52 36975]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-11-11 13:47 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 03:43 13312]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\System32\drivers\npf.sys [2007-11-06 22:22]

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 17:52:13
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-15 17:53:45
ComboFix-quarantined-files.txt 2008-06-15 15:53:38
ComboFix2.txt 2008-06-15 15:05:51

9 Verzeichnis(se), 12,242,542,592 Bytes frei
10 Verzeichnis(se), 12,256,661,504 Bytes frei

109


und Dark Viruz ich hasse service pack 2

Antwort

Themen zu Habe ich einen Trojaner?
bho, dateien, dll, excel, explorer, helper, heulen, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, logfile, messenger, microsoft, msn, nvidia, programme, rundll, software, system, teamspeak, trojaner, trojaner?, windows, windows xp



Ähnliche Themen: Habe ich einen Trojaner?


  1. Habe ich einen Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 24.11.2015 (33)
  2. ich habe einen Trojaner auf dem PC
    Plagegeister aller Art und deren Bekämpfung - 14.10.2014 (14)
  3. Gmx Mail Account gehackt? Habe ich einen Trojaner oder einen Spybot auf dem Rechner?
    Log-Analyse und Auswertung - 01.05.2013 (18)
  4. ich glaub ich habe einen virus(trojaner>JS/Exploit-Blacole.ht< unter anderen.) sorry habe im ersten thema so ziemlich alles falsch gemacht
    Mülltonne - 21.12.2012 (4)
  5. (2x) Habe ich einen Trojaner?
    Mülltonne - 15.10.2012 (1)
  6. Habe einen 50 euro Trojaner
    Plagegeister aller Art und deren Bekämpfung - 10.03.2012 (1)
  7. Habe ich einen Trojaner?
    Log-Analyse und Auswertung - 22.02.2010 (1)
  8. Glaube habe einen Trojaner
    Log-Analyse und Auswertung - 21.02.2010 (3)
  9. Guten Morgen ich habe ein Gefühl ich habe nun einen Virus/Trojaner
    Log-Analyse und Auswertung - 23.12.2009 (1)
  10. Habe ich einen Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 22.11.2008 (4)
  11. Ich habe einen Trojaner!?
    Log-Analyse und Auswertung - 13.06.2008 (6)
  12. Habe mir einen trojaner eingefangen!
    Mülltonne - 07.01.2008 (0)
  13. Habe ich einen Trojaner??
    Log-Analyse und Auswertung - 18.08.2007 (3)
  14. hilfe, habe einen trojaner
    Plagegeister aller Art und deren Bekämpfung - 26.03.2006 (1)
  15. Habe ich einen Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.11.2005 (1)
  16. Habe einen Trojaner
    Log-Analyse und Auswertung - 02.04.2005 (1)
  17. Habe auch einen Trojaner
    Log-Analyse und Auswertung - 06.01.2005 (9)

Zum Thema Habe ich einen Trojaner? - Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:25:17, on 15.06.2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe - Habe ich einen Trojaner?...
Archiv
Du betrachtest: Habe ich einen Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.