Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.10.2008, 06:50   #1
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Hallo Forum
Ich habe den Trojaner "Silentbanker G" auf meinem PC (gehabt?) Ich arbeite mit onlinebanking. Ich kam plötzlich nicht an meine Kontoübersicht, nachdem ich mich einloggen wollte. Stattdessen wurde ich aufgefordert, aufgrund eines "unberechtigten Zugriffs" auf mein Konto zehn Tans einzugeben, um mein Konto wieder zu aktivieren. Das war vor 10 Tagen. Ich sprach mit der Hotline der Bank und die Herren schlugen sofort Alarm. Niemals Tans eingeben!!! Logo, aber die Website war täuschend echt, nur die links funktionierten nicht. Soweit so gut. Habe dann mein onlinebanking gesperrt, bevor es in Uraub ging. Als ich gestern denn PC startete, kam es zum Update von Avira Antivir. Und siehe da: TR/silentbanker.G wurde gefunden.
Nach Durchsicht und Infos des Forums lief ich Combofix laufen. Ergebnis: Es wird kein Trojaner mehr gefunden. War es das? Oder schlummert der Trojaner nur?
Als ich combofix ausgeführt habe, bekam ich von Avira eine Meldung, dass Combofix einen Trojaner beinhaltet. Hatte AV nicht abgeschaltet. Quarantäne angeordnet und weiter...ohne Probleme. (War das okay???)
Soll ich combofix besser erneut ausführen?

Danke für Antworten!!!

CU Mats

Alt 14.10.2008, 20:44   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Icon32

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Hallo,

wenn Du schon einfach so diese Programme ausführst, ohne dass Dir ein Regular oder Kompetenzler dazu rät, warum postest Du denn nicht einmal die Logfiles davon? Wie soll man ohne die überhaupt eine vernünftige Aussage machen??

Reiche die bitte nach.

Erstell auch bitte eins von HijackThis und Malwarebytes.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________

__________________

Alt 17.10.2008, 09:06   #3
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Ich versuche also mal, die logfiles zu posten:
Combofix:
(code)ComboFix 08-10-11.02 - **** 2008-10-12 14:38:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.694 [GMT 2:00]
ausgeführt von:: I:\DISK\Antivirenprogramme\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-12 14:34 . 2008-10-12 14:34 <DIR> d-------- C:\Programme\CCleaner
2008-10-12 14:16 . 2008-10-12 14:16 <DIR> d-------- C:\program files
2008-10-12 09:50 . 2008-10-12 09:51 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-12 09:50 . 2008-10-12 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Malwarebytes
2008-10-12 09:50 . 2008-10-12 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-12 09:50 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-12 09:50 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-04 13:27 . 2008-10-04 13:27 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-10-04 13:26 . 2008-10-04 13:27 <DIR> d-------- C:\Programme\The Cleaner Demo
2008-10-04 13:14 . 2008-10-04 13:14 <DIR> d-------- C:\Programme\Lavasoft
2008-10-04 13:14 . 2008-10-04 13:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-04 12:48 . 2008-10-04 12:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-04 12:29 . 2008-10-04 12:29 <DIR> d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-10-04 12:29 . 2008-10-04 12:29 <DIR> d-------- C:\Programme\SDHelper (Spybot - Search & Destroy)
2008-10-04 12:27 . 2008-10-04 12:35 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-04 12:27 . 2008-10-12 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-04 11:13 . 2008-10-04 11:13 <DIR> d---s---- C:\Dokumente und Einstellungen\******\UserData
2008-10-02 21:31 . 2008-10-02 21:31 <DIR> d-------- C:\Programme\MSXML 4.0
2008-10-01 20:08 . 2008-10-03 11:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-01 20:08 . 2008-10-01 20:08 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-01 20:06 . 2008-10-12 12:19 9,433 --a------ C:\logfile
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-10-01 20:03 . 2008-10-01 20:04 <DIR> d-------- C:\Programme\QuickTime
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Kodak
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-01 20:03 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-10-01 20:03 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-10-01 20:03 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-10-01 20:03 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-10-01 20:02 . 2008-10-01 20:03 <DIR> d-------- C:\Programme\Kodak
2008-10-01 20:00 . 2008-10-01 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak
2008-09-30 18:01 . 2008-09-30 18:20 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-27 17:52 . 2008-09-27 17:52 58 --a------ C:\WINDOWS\nfsc_patch.ini
2008-09-27 17:43 . 2008-09-27 17:43 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-09-27 17:10 . 2008-09-27 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-09-27 17:08 . 2008-04-30 17:27 442,368 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-09-26 17:41 . 2008-09-26 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2008-09-26 17:30 . 2008-09-27 17:08 <DIR> d-------- C:\NVIDIA
2008-09-26 17:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-26 17:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-26 11:46 . 2008-09-26 17:47 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-26 11:46 . 2005-02-25 05:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-19 17:13 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Vorlagen
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Startmenü
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Netzwerkumgebung
2008-09-19 17:13 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Lokale Einstellungen
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Favoriten
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Eigene Dateien
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Druckumgebung
2008-09-19 17:13 . 2008-09-19 17:14 <DIR> dr-h----- C:\Dokumente und Einstellungen\Besucher\Anwendungsdaten
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\Dokumente und Einstellungen\Besucher
2008-09-19 16:20 . 2008-09-19 17:08 <DIR> d-------- C:\coolspot AG
2008-09-19 16:20 . 2008-09-19 17:09 20,645 --a------ C:\WINDOWS\system32\drivers\IwUSB.sys
2008-09-17 19:26 . 2008-09-17 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TomTom
2008-09-17 18:25 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-09-17 17:56 . 2008-09-17 17:56 <DIR> d-------- C:\Programme\Avira
2008-09-17 17:56 . 2008-09-17 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-17 17:48 . 2008-09-17 17:48 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\AdobeUM
2008-09-16 20:13 . 2008-09-16 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2008-09-16 20:13 . 2008-09-16 20:13 361 --a------ C:\WINDOWS\system32\QuickTime.qtp
2008-09-16 20:12 . 2008-09-16 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\******\WINDOWS
2008-09-16 20:12 . 1997-05-29 16:31 315,904 --a------ C:\WINDOWS\IsUn0407.exe
2008-09-16 20:12 . 2008-09-16 20:12 0 --a------ C:\WINDOWS\OpPrintServer.INI
2008-09-16 20:10 . 2008-09-16 20:12 <DIR> d-------- C:\Programme\Canon
2008-09-15 09:05 . 2008-09-23 17:57 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-13 20:50 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-09-13 20:50 . 2008-09-13 23:07 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-09-13 20:50 . 2008-10-01 20:06 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-09-13 20:48 . 2008-09-13 20:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-09-13 20:48 . 2008-10-12 09:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-09-13 20:47 . 2008-09-13 20:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-09-13 20:47 . 2008-09-13 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-09-13 20:09 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Vorlagen
2008-09-13 20:09 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\******\Startmenü
2008-09-13 20:09 . 2008-09-27 14:04 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Netzwerkumgebung
2008-09-13 20:09 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Lokale Einstellungen
2008-09-13 20:09 . 2008-09-13 20:25 <DIR> dr------- C:\Dokumente und Einstellungen\******\Favoriten
2008-09-13 20:09 . 2008-09-17 19:53 <DIR> dr------- C:\Dokumente und Einstellungen\******\Eigene Dateien
2008-09-13 20:09 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Druckumgebung
2008-09-13 20:09 . 2008-10-12 09:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\*****\Anwendungsdaten
2008-09-13 20:09 . 2008-10-12 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\******
2008-09-13 20:06 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService
2008-09-13 20:06 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService
2008-09-13 20:05 . 2008-09-13 19:58 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Vorlagen
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmenü
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Netzwerkumgebung
2008-09-13 20:05 . 2008-10-12 14:39 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoriten
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Druckumgebung
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten
2008-09-13 20:02 . 2008-09-13 20:02 <DIR> d-------- C:\Programme\microsoft frontpage
2008-09-13 20:01 . 2008-09-20 12:08 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users\DRM
2008-09-13 20:00 . 2008-09-13 20:00 <DIR> d-------- C:\Programme\Online-Dienste
2008-09-13 20:00 . 2008-09-13 20:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Dienste

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-27 15:53 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-09-17 17:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-16 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-13 21:08 --------- d-----w C:\Programme\CREATIVE
2008-09-13 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-09-13 17:30 --------- d-----w C:\Programme\Ahead
2008-09-13 17:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-09-13 17:24 --------- d-----w C:\Programme\SiS7012
2008-09-13 17:15 --------- d-----w C:\Programme\CyberLink
2008-09-13 17:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-09-13 17:10 --------- d-----w C:\Programme\Microsoft IntelliPoint
2008-09-13 17:09 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2008-09-13 16:50 --------- d-----w C:\Programme\UltimateZip
2008-09-13 16:49 --------- d-----w C:\Programme\xp-AntiSpy
2008-09-13 16:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-13 16:29 --------- d-----w C:\Programme\sisagp
2008-09-13 16:12 --------- d-----w C:\Programme\DVD Shrink
2008-09-13 16:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-09-13 16:07 --------- d-----w C:\Programme\Lavalys
2008-09-13 16:06 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-28 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 86016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 286720]
"nwiz"="nwiz.exe" [2008-05-03 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-28 15360]

C:\Dokumente und Einstellungen\******\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - C:\Programme\UltimateZip\uzqkst.exe [2001-09-05 229888]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Kodak EasyShare Software.lnk - C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-09-19 282624]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= 1625564991.CPX

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Steam\\SteamApps\\magicmats\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

R3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2008-09-19 20645]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2004-11-03 267136]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-01 C:\WINDOWS\Tasks\EasyShare Registration Task.job
- C:\WINDOWS\system32\rundll32.exe [2004-08-28 13:53]
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.faz.net/s/homepage.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 14:39:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 14:40:38
ComboFix-quarantined-files.txt 2008-10-12 12:40:36

Vor Suchlauf: 8 Verzeichnis(se), 43.486.162.944 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 43,487,707,136 Bytes frei

206 --- E O F --- 2008-10-04 07:04:07
(/code)


War das richtig so? Ich hoffe....Vielen Dank für Hilfe!!!!
__________________

Alt 17.10.2008, 09:13   #4
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Hier das Logfile von HiJackThis:
#Logfile of HijackThis v1.98.2
Scan saved at 12:51:09, on 16.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
I:\DISK\Schutzprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Aktuell - FAZ.NET
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
#

Alt 17.10.2008, 09:41   #5
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Logfile von Malwarebytes:
(code)Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1259
Windows 5.1.2600 Service Pack 3

17.10.2008 10:35:44
mbam-log-2008-10-17 (10-35-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 161530
Laufzeit: 50 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)(/code)

Vielen Dank für Hilfe!


Alt 20.10.2008, 11:47   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Die Logfiles an sich sehen okay aus, mach aber nochmal bitte nen Check mit Blacklight und poste das Logfile davon in Codetags!

Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
registry values to delete:
HKLM\software\microsoft\windows nt\currentversion\drivers32 | wave1

files to delete:
c:\windows\1625564991.CPX
c:\windows\system32\1625564991.CPX
c:\windows\system32\drivers\1625564991.CPX
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
--> Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?

Alt 21.10.2008, 21:08   #7
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Okay, ich werde es versuchen, step by step...
Hier der logfile von "blacklight":
Code:
ATTFilter
 10/21/08 21:47:45 [Info]: BlackLight Engine 2.2.1092 initialized
10/21/08 21:47:45 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/21/08 21:47:45 [Note]: 7019 4
10/21/08 21:47:45 [Note]: 7005 0
10/21/08 21:47:53 [Note]: 7006 0
10/21/08 21:47:53 [Note]: 7011 424
10/21/08 21:47:53 [Note]: 7035 0
10/21/08 21:47:53 [Note]: 7026 0
10/21/08 21:47:53 [Note]: 7026 0
10/21/08 21:47:55 [Note]: FSRAW library version 1.7.1024
10/21/08 21:51:44 [Note]: 7007 0
         
Geht erst morgen weiter...der Job lässt nicht mehr Zeit zu...
root 24, ich danke Dir!!

Alt 21.10.2008, 21:23   #8
trojan-death
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Zitat:
Zitat von root24 Beitrag anzeigen
Die Logfiles an sich sehen okay aus,
@root24 Nur ganz kurz.... hast's wahrscheinlich übersehen
Zitat:
Zitat von mats
Logfile of HijackThis v1.98.2
grüsse trojan-death
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 21.10.2008, 22:52   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Zitat:
Zitat von trojan-death Beitrag anzeigen
@root24 Nur ganz kurz.... hast's wahrscheinlich übersehen

grüsse trojan-death
Jo, das uralte HijackThis hab ich voll übersehen
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.10.2008, 05:45   #10
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Silent Runner:
Code:
ATTFilter
 "Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"type32" = ""C:\Programme\Microsoft IntelliType Pro\type32.exe"" [MS]
"IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\point32.exe"" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{2F860D81-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Shell Extension"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]
"{97FA8AA2-EE77-4FF2-9449-424D8924EF21}" = "IntelliType Pro Zooming Control Panel Property Page"
  -> {HKLM...CLSID} = "IntelliType Pro Zooming Property Page"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplzm.dll"" [MS]
"{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB}" = "IntelliType Pro Scrolling Control Panel Property Page"
  -> {HKLM...CLSID} = "IntelliType Pro Scrolling Property Page"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll"" [MS]
"{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2}" = "IntelliType Pro Key Settings Control Panel Property Page"
  -> {HKLM...CLSID} = "IntelliType Pro Key Settings Property Page"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplkey.dll"" [MS]
"{A2569D1F-4E06-43EC-9825-0088B471BE47}" = "IntelliType Pro Wireless Control Panel Property Page"
  -> {HKLM...CLSID} = "IntelliType Pro Wireless Control Panel Property Page"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwir.dll"" [MS]
"{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"
  -> {HKLM...CLSID} = "Schnurlose Eigenschaften"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS]
"{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"
  -> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]
"{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"
  -> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS]
"{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"
  -> {HKLM...CLSID} = "Tasten-Eigenschaftenseite"
                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "J:\Eigene Bilder\SLK 200\SLK 1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "J:\Eigene Bilder\SLK 200\SLK 1.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

CanonZB4PicturesOnArrival\
"Provider" = "ZoomBrowser EX"
"InvokeProgID" = "Zb.AutoplayHandler"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Zb.AutoplayHandler\shell\open\command\(Default) = "C:\Programme\Canon\ZoomBrowser EX\Program\ZoomBrowser.exe /AUTOPLAY "%1"" [empty string]

NeroAutoPlay2CDAudio\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CopyCD\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2DataDisc\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2LaunchNeroStartSmart\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]

PDVDPlayDVDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]

PTSOnArrivalHandler\
"Provider" = "Kodak EasyShare software"
"InvokeProgID" = "Ptswia.WiaEvents.1"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Ptswia.WiaEvents.1\shell\open\DropTarget\CLSID = "{66A41C80-C64A-45A9-8BC9-0D58DE47C007}"
  -> {HKLM...CLSID} = "WiaEvents Class"
                   \LocalServer32\(Default) = ""C:\Programme\Kodak\Kodak EasyShare software\bin\ptswia.exe"" [null data]


Startup items in "Markus" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Kodak EasyShare Software" -> shortcut to: "C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe -hx" ["Eastman Kodak Company"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"EasyShare Registration Task" -> launches: "C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kodak\EasyShareSetup\$REGIS~1\Registration_7.5.20.2.sxt _RegistrationOffer@16" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{64FD35CE-4D5C-4ABF-9A46-BB9DF4616684}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Lavasoft Ad-Aware Service, aawservice, "C:\Programme\Lavasoft\Ad-Aware\aawservice.exe" ["Lavasoft"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


---------- (launch time: 2008-10-22 06:37:05)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 89 seconds.
---------- (total run time: 155 seconds)
         
Werde ein neues HijackThis Log erstellen und posten...
Thanks!

Alt 22.10.2008, 05:59   #11
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Das neue Logfile von Hijackthis:

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:49:27, on 22.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://XXX.faz.net/s/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htXp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5197 bytes
         
Programme wie Thunderbird und Mozilla Firefox habe ich erst nach dem Trojanerfund installiert, als ich gelesen habe, dass sie sicherer sind. Ich hoffe, das ist nicht wichtig für die Auswertung der Logfiles.

Alt 22.10.2008, 06:21   #12
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Das nächste Listing klappt irgendwie nicht, oder die Datei ist doch deutlich kleiner, als erwartet: Ich post mal das, was in dem Skript steht:
Code:
ATTFilter
 echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt
%systemdrive%
cd\
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ SYSTEM32 ---" >> %temp%\listing.txt
cd %windir%
cd system32
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Installations"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Program Files"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt
cd %windir%
cd system32
cd drivers
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PREFETCH ---" >> %temp%\listing.txt
cd %windir%
cd prefetch
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ TASKS ---" >> %temp%\listing.txt
cd %windir%
cd tasks
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR ---" >> %temp%\listing.txt
cd %windir%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt
cd system
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt
cd %windir%
cd temp
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ USER\TEMP ---" >> %temp%\listing.txt
cd %temp%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ ALLUSERS ---" >> %temp%\listing.txt
cd %allusersprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USERS ---" >> %temp%\listing.txt
cd %userprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

cd %temp%
copy /y listing.txt "%userprofile%"\desktop\listing.txt
         
Okay so?Oder mache ich etwas falsch?

Alt 22.10.2008, 06:33   #13
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Okay, auch hier das logfile:

Code:
ATTFilter
 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\1625564991.CPX" not found!
Deletion of file "c:\windows\1625564991.CPX" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\1625564991.CPX" not found!
Deletion of file "c:\windows\system32\1625564991.CPX" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\1625564991.CPX" not found!
Deletion of file "c:\windows\system32\drivers\1625564991.CPX" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry value "HKLM\software\microsoft\windows nt\currentversion\drivers32|wave1" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Jetzt bin ich auf die Auswertung gespannt...Ich hoffe, vielen Forumsnutzern ist dies eine Hilfe.
CU

Alt 22.10.2008, 08:35   #14
Mats
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Hi root24
Das vorletzte Listing hat nicht funktioniert. Ich bekam keine txt Datei auf den Desktop. Habe wahrscheinlich den Inhalt des Sriptes gepostet...sorry.
Auf meinem Firmen PC habe ich es ausprobiert und dort hat es auch funktioniert. Versuche es später nocheinmal, oder woran könnte es liegen?
Das Fenster im ? Dos-modus? (so sah es für mich aus) ging gar nicht auf.

Alles wird gut...hoffentlich....

Alt 22.10.2008, 10:22   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Standard

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?



Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben



Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?
aktiviere, antworten, avira, banker, besser, combofix, einloggen, entfernt, ergebnis, erneut, gesperrt, infos, links, meldung, niemals, plötzlich, quarantäne, silentbanker, stelle, tans, trojaner, update, website, wirklich, worte



Ähnliche Themen: Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?


  1. Windows 7 32-Bit: Antivir stellt Trojaner "TR/Sirefef.AB.78" fest. Lässt sich nicht löschen
    Log-Analyse und Auswertung - 04.06.2015 (23)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. PC läuft recht langsam und "frißt sich manchmal fest"
    Plagegeister aller Art und deren Bekämpfung - 03.06.2014 (19)
  4. Ist mein System sauber? Wie stelle ich das fest?
    Log-Analyse und Auswertung - 18.04.2014 (4)
  5. Delta-Search wirklich einschließlich aller eventuellen "Nebenwirkungen" entfernt?
    Plagegeister aller Art und deren Bekämpfung - 30.05.2013 (10)
  6. Gerade GVU Trojaner mit Webcam "gehabt", ist es wirklich dank Malewarebytes weg? Wo ist die "Lücke"?
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (23)
  7. Trojaner "System Repair" in Windows Vista wirklich entfernt?
    Log-Analyse und Auswertung - 18.12.2011 (82)
  8. Wie stelle ich "eingeschränkte Rechte am Computer" ein?
    Alles rund um Windows - 10.11.2011 (1)
  9. "Malware Protection" entfernt und nun "Windows Vista Restore" und diverse Festplattenwarnungen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2011 (28)
  10. Virus vom Typ "Antivirus", hänge fest. hosts Zugriff geblockt.
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (37)
  11. "Antivir Solution Pro" wirklich entfernt?
    Log-Analyse und Auswertung - 23.07.2010 (4)
  12. Wie stelle ich fest ob ich einen Trojaner auf meinem USB-Stick habe?
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (1)
  13. Wie stelle ich über "CPU Quiet Fan" meinen CPU-Lüfter richtig ein?
    Netzwerk und Hardware - 24.03.2009 (3)
  14. Befall durch "TR/Silentbanker.N"
    Mülltonne - 27.11.2008 (2)
  15. Unbekannter Softwarefehler" ..... ist in der Anwendung an der Stelle ...an der Stelle
    Mülltonne - 25.07.2008 (0)
  16. Wie stelle ich fest, welches Programm gerade eine aktive Internetverbindung hat?
    Überwachung, Datenschutz und Spam - 11.04.2008 (7)
  17. Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?
    Log-Analyse und Auswertung - 25.03.2008 (6)

Zum Thema Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? - Hallo Forum Ich habe den Trojaner "Silentbanker G" auf meinem PC (gehabt?) Ich arbeite mit onlinebanking. Ich kam plötzlich nicht an meine Kontoübersicht, nachdem ich mich einloggen wollte. Stattdessen wurde - Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?...
Archiv
Du betrachtest: Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.