WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?

john.doe · 03.08.2009, 18:51

1.) Deinstalliere:

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Reader 8.1.2 - Deutsch
Apple Software Update
ICQ Toolbar
Java(TM) 6 Update 13
Java(TM) 6 Update 3
Java(TM) 6 Update 7
Mozilla Firefox (3.0.11)
Spybot - Search & Destroy

2.) Installiere (Toolbars immer abwählen, Haken weg):

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
gsplittm
ICQ Service
JavaQuickStarterService

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{011b3405-9a0b-11dc-861e-00116b3d4b0d}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
"SpybotSD TeaTimer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRONoMgr.exe"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"Adobe Photo Downloader"=-
"QuickTime Task"=-
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

LolliBunny · 03.08.2009, 19:56

Danke. Also habe ich gemacht zumindestens alles was ich gefunden habe (Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB40374), hab ich net gefunden.

Nun läuft das Prog wieder.

Keine Sorge bin nicht über meinem PC im Netz.

Bin auf das Ergebnis gespannt auch wenn diese Logs für mich wie Chinesisch zu lesen sind.

.

LG

Steffi

john.doe · 03.08.2009, 20:01

Zitat:

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB40374), hab ich net gefunden.

1.) Start => Ausführen => MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7} => OK

2.) Start => Ausführen => MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} => OK

Zitat:

Bin auf das Ergebnis gespannt auch wenn diese Logs für mich wie Chinesisch zu lesen sind.

Das lernt man auch nicht an einem Tag.

ciao, andreas

LolliBunny · 03.08.2009, 20:07

Glaube ich dir aufs Wort

.

Also mir wird da gesagt dass sie bereits deinstalliert sind bzw nicht installiert.

ComboFix 09-08-02.04 - Besitzer 03.08.2009 20:53.2.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1576 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Besitzer\Desktop\cfscript.txt
AV: Kaspersky Security Suite CBE 09 *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE 09 *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FILE ::
"c:\windows\tasks\AppleSoftwareUpdate.job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GSPLITTM
-------\Legacy_JAVAQUICKSTARTERSERVICE
-------\Service_gsplittm
-------\Service_JavaQuickStarterService

((((((((((((((((((((((( Dateien erstellt von 2009-07-03 bis 2009-08-03 ))))))))))))))))))))))))))))))
.

2009-08-22 15:54 . 2009-06-29 16:23 861 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Acreon\WowMatrix\Archives\HealBot\HealBot_Clean_WTF.bat
2009-08-03 18:47 . 2009-08-03 18:47 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Foxit
2009-08-03 18:47 . 2009-08-03 18:47 -------- d-----w- c:\programme\Foxit Software
2009-08-03 18:45 . 2009-08-03 18:45 152576 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-08-03 09:06 . 2009-08-03 09:07 -------- d-----w- c:\programme\QuickTime
2009-08-03 09:06 . 2009-08-03 09:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-03 03:24 . 2009-08-03 03:24 -------- d-----w- C:\rsit
2009-08-02 07:38 . 2009-08-02 07:57 -------- d-----w- c:\programme\ICQ6.5
2009-08-02 06:58 . 2009-08-02 13:26 -------- d-----w- c:\programme\Avanquest update
2009-08-02 06:58 . 2009-08-02 06:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2009-08-02 06:57 . 2008-11-04 01:45 10792 ----a-w- c:\windows\system32\drivers\s1018cr.sys
2009-08-02 06:57 . 2008-11-04 01:45 109736 ----a-w- c:\windows\system32\drivers\s1018unic.sys
2009-08-02 06:57 . 2008-11-04 01:45 108200 ----a-w- c:\windows\system32\drivers\s1018mgmt.sys
2009-08-02 06:57 . 2008-11-04 01:45 104616 ----a-w- c:\windows\system32\drivers\s1018obex.sys
2009-08-02 06:57 . 2008-11-04 01:45 26024 ----a-w- c:\windows\system32\drivers\s1018nd5.sys
2009-08-02 06:57 . 2008-11-04 01:45 15016 ----a-w- c:\windows\system32\drivers\s1018mdfl.sys
2009-08-02 06:57 . 2008-11-04 01:45 12200 ----a-w- c:\windows\system32\drivers\s1018cmnt.sys
2009-08-02 06:57 . 2008-11-04 01:45 12200 ----a-w- c:\windows\system32\drivers\s1018cm.sys
2009-08-02 06:57 . 2008-11-04 01:45 114472 ----a-w- c:\windows\system32\drivers\s1018mdm.sys
2009-08-02 06:57 . 2008-11-04 01:45 12200 ----a-w- c:\windows\system32\drivers\s1018whnt.sys
2009-08-02 06:57 . 2008-11-04 01:45 12200 ----a-w- c:\windows\system32\drivers\s1018wh.sys
2009-08-02 06:57 . 2008-11-04 01:45 86696 ----a-w- c:\windows\system32\drivers\s1018bus.sys
2009-08-02 06:41 . 2009-08-02 06:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sony Ericsson
2009-08-02 06:40 . 2009-08-02 06:49 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Teleca
2009-08-02 06:37 . 2009-08-02 06:37 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sony Ericsson
2009-08-02 06:30 . 2009-08-02 06:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2009-08-02 06:30 . 2009-08-02 06:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Sony Ericsson Shared
2009-08-02 06:30 . 2009-08-02 06:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Teleca
2009-08-02 06:30 . 2009-08-02 06:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Teleca Shared
2009-08-02 06:30 . 2009-08-02 06:30 -------- d-----w- c:\programme\Sony Ericsson
2009-08-02 06:27 . 2009-08-02 06:27 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Leadertech
2009-08-02 06:17 . 2007-02-08 11:56 18704 ----a-r- c:\windows\system32\drivers\sea1nd5.sys
2009-08-02 06:17 . 2007-02-08 11:56 90800 ----a-r- c:\windows\system32\drivers\sea1unic.sys
2009-08-02 06:17 . 2007-02-08 11:55 4128 ----a-r- c:\windows\system32\drivers\sea1cr.sys
2009-08-02 06:17 . 2007-02-08 11:56 88624 ----a-r- c:\windows\system32\drivers\sea1mgmt.sys
2009-08-02 06:16 . 2007-02-08 11:56 86432 ----a-r- c:\windows\system32\drivers\sea1obex.sys
2009-08-02 06:16 . 2007-02-08 11:55 97088 ----a-r- c:\windows\system32\drivers\sea1mdm.sys
2009-08-02 06:16 . 2007-02-08 11:55 9360 ----a-r- c:\windows\system32\drivers\sea1mdfl.sys
2009-08-02 06:16 . 2007-02-08 11:55 6240 ----a-r- c:\windows\system32\drivers\sea1cmnt.sys
2009-08-02 06:16 . 2007-02-08 11:55 6240 ----a-r- c:\windows\system32\drivers\sea1cm.sys
2009-08-02 06:02 . 2009-08-02 06:02 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sony
2009-08-02 06:00 . 2009-08-02 06:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Sony Shared
2009-08-02 05:59 . 2009-08-02 05:59 -------- d-----w- c:\programme\Sony
2009-07-09 16:14 . 2009-07-09 16:25 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-07-09 16:14 . 2009-07-09 16:25 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-07-09 16:13 . 2009-08-03 18:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-09 16:13 . 2009-08-03 18:56 24052256 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-09 16:13 . 2009-08-03 18:56 2220064 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-09 16:13 . 2009-07-09 16:13 -------- d-----w- c:\programme\Kaspersky Lab
2009-07-07 18:16 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-07 17:27 . 2009-07-07 17:27 -------- d-----w- c:\windows\system32\de
2009-07-07 17:27 . 2009-07-07 17:27 -------- d-----w- c:\windows\l2schemas
2009-07-07 17:27 . 2009-07-07 17:27 -------- d-----w- c:\windows\system32\bits
2009-07-07 16:53 . 2009-07-07 16:53 -------- d-----w- c:\programme\Trend Micro
2009-07-07 16:48 . 2009-07-07 16:48 -------- d-----w- c:\programme\CCleaner
2009-07-07 16:35 . 2009-07-07 16:35 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-07-07 16:35 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-07 16:35 . 2009-07-07 16:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-07 16:35 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-07 16:35 . 2009-07-07 16:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-07 16:34 . 2009-08-03 18:34 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-07 16:34 . 2009-08-03 18:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-05 17:27 . 2009-07-25 19:08 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-03 18:56 . 2009-07-09 16:13 9716 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-08-03 18:56 . 2009-07-09 16:13 191084 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-03 18:46 . 2009-07-04 09:50 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-08-03 18:25 . 2007-12-09 00:27 -------- d-----w- c:\programme\Java
2009-08-03 18:13 . 2007-10-22 16:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-08-03 16:37 . 2007-11-05 17:24 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2009-08-03 04:33 . 2007-11-05 17:26 1 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-08-02 09:39 . 2007-09-08 13:44 16600 -c--a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-02 07:42 . 2008-07-01 18:29 -------- d-----w- c:\programme\ICQ6Toolbar
2009-08-02 07:41 . 2008-07-01 18:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-08-02 07:39 . 2008-07-01 18:28 -------- d-----w- c:\programme\ICQ6
2009-08-02 06:58 . 2007-09-08 12:40 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-15 18:04 . 2007-09-09 18:40 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2009-07-11 10:57 . 2008-01-04 11:31 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-07-09 17:02 . 2009-06-30 17:34 -------- d-----w- c:\programme\Google
2009-07-07 18:32 . 2008-11-05 06:54 310912 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\MobMapUpdater\MobMapUpdaterExternals.dll
2009-07-07 18:32 . 2009-05-05 05:24 -------- d-----w- c:\programme\MobMapUpdater
2009-07-07 17:28 . 2007-09-08 11:53 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-07-04 09:59 . 2008-07-08 13:01 -------- d-----w- c:\programme\Lexmark X1100 Series
2009-06-30 17:34 . 2009-06-30 17:34 -------- d-----w- c:\programme\DivX
2009-06-30 17:34 . 2009-06-30 17:34 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-06-29 15:55 . 2003-04-02 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2007-09-08 13:35 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2003-04-02 12:00 17408 ------w- c:\windows\system32\corpol.dll
2009-06-20 17:22 . 2009-06-20 17:22 -------- d-----w- c:\programme\Catan GmbH
2009-06-16 14:36 . 2003-04-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2003-04-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-14 10:24 . 2007-09-08 15:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-06-03 19:09 . 2003-04-02 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-28 16:28 . 2009-06-03 07:41 81 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Acreon\WowMatrix\Archives\Informant\Libs\LibExtraTip\contrib\processDoc.bat
2009-05-28 16:28 . 2009-06-03 07:41 81 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Acreon\WowMatrix\Archives\Enchantrix-Barker\Libs\LibExtraTip\contrib\processDoc.bat
2009-05-28 16:28 . 2009-06-03 07:41 81 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Acreon\WowMatrix\Archives\Enchantrix\Libs\LibExtraTip\contrib\processDoc.bat
2009-05-13 21:56 . 2007-09-09 18:53 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys
2009-05-13 21:56 . 2009-06-30 17:34 129784 ------w- c:\windows\system32\pxafs.dll
2009-05-13 21:56 . 2009-06-30 17:34 120056 ------w- c:\windows\system32\pxcpyi64.exe
2009-05-13 21:56 . 2009-06-30 17:34 118520 ------w- c:\windows\system32\pxinsi64.exe
2009-05-13 21:54 . 2009-05-13 21:54 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-05-13 21:54 . 2009-05-13 21:54 823296 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-05-13 21:54 . 2009-05-13 21:54 823296 ----a-w- c:\windows\system32\divx_xx07.dll
2009-05-13 21:54 . 2009-05-13 21:54 815104 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-05-13 21:54 . 2009-05-13 21:54 811008 ----a-w- c:\windows\system32\divx_xx16.dll
2009-05-13 21:54 . 2009-05-13 21:54 802816 ----a-w- c:\windows\system32\divx_xx11.dll
2009-05-13 21:54 . 2009-05-13 21:54 685056 ----a-w- c:\windows\system32\DivX.dll
2009-05-07 15:32 . 2003-04-02 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-07-15 21:31 . 2009-08-03 18:42 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?

Log-Analyse und Auswertung: WoW gehackt Triojaner wird vermutet könntet ihr euch vielleicht den Log ansehen?