Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Logs sauber? Bitte überprüfen

Logs sauber? Bitte überprüfen


Plagegeister aller Art und deren Bekämpfung: Logs sauber? Bitte überprüfen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.05.2010, 13:19   #1
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Logs sauber? Bitte überprüfen - Standard

Logs sauber? Bitte überprüfen


So ich will jetzt hier nicht durcheinanderkommen, sonst verzetteln wir uns hier mit Logfiles von unterschiedlichen Systemen!!

1) Sind die Logs jetzt nur von Deinem Office-PC? Offensichtlich ja, die sind unauffällig!
2) Hast Du Logfiles vom (infizierten) Rechner? (Notebook?)
3) Wurde das Notebook schon geplättet?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.05.2010, 13:22   #2
shorts77
 
Logs sauber? Bitte überprüfen - Standard

Logs sauber? Bitte überprüfen


1) alle logs sind nur von meinem office
2) ich habe logfiles (mbam, otl, hjt, gmer, cf) vom infzierten system, auch noch den qoobox order aber angst in irgendeiner form dateien von dort zu transferieren.
3) das infizierte notebook hatte ich vor nach boot von livecd und datensicherung + mehrmaliges, langwierirges formatieren , mit win 7 64bit neuzuinstallieren

Zitat:
Zitat von cosinus Beitrag anzeigen
So ich will jetzt hier nicht durcheinanderkommen, sonst verzetteln wir uns hier mit Logfiles von unterschiedlichen Systemen!!

1) Sind die Logs jetzt nur von Deinem Office-PC? Offensichtlich ja, die sind unauffällig!
2) Hast Du Logfiles vom (infizierten) Rechner? (Notebook?)
3) Wurde das Notebook schon geplättet?
__________________
Alt 11.05.2010, 15:19   #3
shorts77
 
Logs sauber? Bitte überprüfen - Standard

Logs sauber? Bitte überprüfen


ich habe gerade combofix durchlaufen lassen- hat 3 dateien gelöscht!
die dateien habe ich alle von jotti udn virustotal analysieren lassen, alles virenfrei.

warum hat combofix diese files gelöscht? müssen doch keine viren sein...?



Code:
ATTFilter
ComboFix 10-05-10.03 - xxx 11.05.2010  15:59:31.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1406 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\jgjh.exe
AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Install.exe

----- BITS: Eventuell infizierte Webseiten -----

hxxp://xxx-7
.
(((((((((((((((((((((((   Dateien erstellt von 2010-04-11 bis 2010-05-11  ))))))))))))))))))))))))))))))
.

2010-05-10 17:14 . 2010-05-10 17:14	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\ImgBurn
2010-05-10 17:12 . 2010-05-10 17:12	--------	d-----w-	c:\programme\ImgBurn
2010-05-10 16:41 . 2010-05-10 17:07	--------	d-----w-	c:\windows\BDOSCAN8
2010-05-10 16:34 . 2010-05-10 16:34	--------	d-----w-	c:\programme\Panda Security
2010-05-10 09:20 . 2010-05-10 09:20	388096	----a-r-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-05-10 09:20 . 2010-05-10 09:20	--------	d-----w-	c:\programme\Trend Micro
2010-05-10 08:51 . 2010-05-10 08:51	63488	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-10 08:51 . 2010-05-10 08:51	52224	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-05-10 08:51 . 2010-05-10 08:51	117760	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-10 08:51 . 2010-05-10 08:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-10 08:50 . 2010-05-10 08:50	--------	d-----w-	c:\programme\SUPERAntiSpyware
2010-05-10 08:50 . 2010-05-10 08:50	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-10 08:50 . 2010-05-10 08:50	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-05-10 07:27 . 2010-05-10 07:27	61440	----a-w-	c:\windows\system32\PxSecure.dll
2010-05-10 07:27 . 2010-05-10 07:27	54792	----a-w-	c:\windows\system32\drivers\pxrts.sys
2010-05-10 07:27 . 2010-05-10 07:27	30320	----a-w-	c:\windows\system32\drivers\pxscan.sys
2010-05-10 07:27 . 2010-05-10 07:27	24400	----a-w-	c:\windows\system32\drivers\pxkbf.sys
2010-05-10 07:27 . 2010-05-10 07:27	--------	d-----w-	c:\programme\Prevx
2010-05-10 07:27 . 2010-05-11 11:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-05-10 07:13 . 2010-05-10 07:13	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-05-10 07:13 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-10 07:13 . 2010-05-10 07:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-10 07:13 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-10 07:13 . 2010-05-10 07:13	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-05-10 07:10 . 2010-05-10 07:10	--------	d-----w-	c:\programme\ESET

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-11 13:47 . 2009-11-04 14:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2010-05-11 13:37 . 2009-11-23 19:09	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICAClient
2010-05-11 13:37 . 2010-05-11 13:37	5480448	---ha-w-	c:\dokumente und einstellungen\xxx\ntuser.tmp
2010-05-11 07:16 . 2010-05-11 07:11	193801	----a-w-	c:\programme\netstat1.log
2010-05-11 06:54 . 2007-04-12 14:39	--------	d-----w-	c:\programme\Symantec AntiVirus
2010-05-11 06:44 . 2004-08-04 12:00	96558	----a-w-	c:\windows\system32\perfc007.dat
2010-05-11 06:44 . 2004-08-04 12:00	490160	----a-w-	c:\windows\system32\perfh007.dat
2010-05-11 06:43 . 2009-11-04 14:41	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2010-05-11 06:42 . 2009-01-27 15:28	--------	d-----w-	c:\programme\LogMeIn
2010-05-10 12:46 . 2007-04-03 13:23	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-10 09:23 . 2009-03-18 13:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-05-10 09:00 . 2009-04-21 06:37	--------	d-----w-	c:\programme\CCleaner
2010-05-10 08:05 . 2009-04-21 08:42	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Alcatel PIMphony
2010-04-20 13:05 . 2009-07-06 13:25	10719027	----a-w-	C:\cop.zip
2010-04-14 03:06 . 2009-03-02 11:57	--------	d-----w-	c:\programme\Google
2010-03-27 06:55 . 2010-02-06 12:36	162048	----a-w-	c:\windows\system32\drivers\WpsHelper.sys
2010-03-10 06:15 . 2004-08-04 12:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-10-28 01:14	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2004-08-04 12:00	2148864	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2004-08-04 00:50	2027008	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-02-12 04:33 . 2004-08-04 12:00	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-04 12:00	226880	----a-w-	c:\windows\system32\drivers\tcpip6.sys
2009-09-12 22:05 . 2009-09-12 22:05	124240	----a-w-	c:\programme\mozilla firefox\plugins\CCMSDK.dll
2009-09-12 22:06 . 2009-09-12 22:06	13136	----a-w-	c:\programme\mozilla firefox\plugins\cgpcfg.dll
2009-09-12 22:06 . 2009-09-12 22:06	70488	----a-w-	c:\programme\mozilla firefox\plugins\CgpCore.dll
2009-09-12 22:06 . 2009-09-12 22:06	91480	----a-w-	c:\programme\mozilla firefox\plugins\confmgr.dll
2009-09-12 22:06 . 2009-09-12 22:06	22360	----a-w-	c:\programme\mozilla firefox\plugins\ctxlogging.dll
2009-09-12 22:07 . 2009-09-12 22:07	255312	----a-w-	c:\programme\mozilla firefox\plugins\ctxmui.dll
2009-09-12 22:06 . 2009-09-12 22:06	31064	----a-w-	c:\programme\mozilla firefox\plugins\icafile.dll
2009-09-12 22:06 . 2009-09-12 22:06	40280	----a-w-	c:\programme\mozilla firefox\plugins\icalogon.dll
2009-08-14 12:33 . 2009-08-14 12:33	652640	----a-w-	c:\programme\mozilla firefox\plugins\sslsdk_b.dll
2009-09-12 22:06 . 2009-09-12 22:06	23896	----a-w-	c:\programme\mozilla firefox\plugins\TcpPServ.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-24 5537792]
"nwiz"="nwiz.exe" [2005-02-24 1495040]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-02-24 86016]
"LogMeIn GUI"="c:\programme\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"vmware-tray"="c:\programme\VMware\VMware Workstation\vmware-tray.exe" [2009-08-14 96816]
"ConnectionCenter"="c:\programme\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2010-02-06 115560]
"Symantec Backup Exec System Recovery 2010"="c:\programme\Symantec\Backup Exec System Recovery\Agent\VProTray.exe" [2009-10-01 2596712]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2009-10-01 15:31	87352	----a-w-	c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^hamachi.lnk]
path=c:\dokumente und einstellungen\xxx\Startmenü\Programme\Autostart\hamachi.lnk
backup=c:\windows\pss\hamachi.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\xxx\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 00:04	39792	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
2008-09-26 10:02	2356088	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2008-10-25 09:44	31072	----a-w-	c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-06-28 13:54	16248320	----a-w-	c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 17:04	2879488	----a-w-	c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07	2260480	--sha-w-	c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-03-18 13:54	136600	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
2010-05-06 15:04	2017280	----a-w-	c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\COP\\COP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Alcatel_PIMphony\\aoconfig.exe"=
"c:\\Programme\\Alcatel_PIMphony\\uaproc.exe"=
"%windir%\\system32\\abers.exe"=
"c:\\Programme\\Alcatel_PIMphony\\appdiag\\appdiag.exe"=
"c:\\Programme\\Alcatel_PIMphony\\aocphone.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [10.05.2010 09:27 30320]
R1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\drivers\ctxusbm.sys [08.09.2009 19:13 65584]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 11:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [06.05.2010 17:10 68168]
R2 Backup Exec System Recovery;Backup Exec System Recovery;c:\programme\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe [01.10.2009 20:55 4585312]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [10.05.2010 09:27 6367576]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\programme\LogMeIn\x86\rainfo.sys [24.07.2008 19:46 12856]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [10.05.2010 09:13 304464]
R2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [10.05.2010 09:27 54792]
R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [14.08.2009 21:20 54960]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [07.02.2010 21:02 102448]
R3 GenericMount;Generic Mount Driver;c:\windows\system32\drivers\GenericMount.sys [21.09.2009 21:26 46192]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [10.05.2010 09:13 20952]
R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [10.05.2010 09:27 24400]
R3 radpms;Driver for RADPMS Device;c:\windows\system32\drivers\radpms.sys [24.07.2008 19:45 12192]
R3 SymSnapService;SymSnapService;c:\programme\Symantec\Backup Exec System Recovery\Shared\Drivers\SymSnapService.exe [21.09.2009 21:19 1964528]
S2 gupdate1c9a0c72696d508;Google Update Service (gupdate1c9a0c72696d508);c:\programme\Google\Update\GoogleUpdate.exe [09.03.2009 16:55 133104]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [06.02.2010 14:35 23888]
S3 GenericMount Helper Service;GenericMount Helper Service;c:\programme\Symantec\Backup Exec System Recovery\Shared\Drivers\GenericMountHelper.exe [21.09.2009 21:25 1571336]
S3 Symantec SymSnap VSS Provider;Symantec SymSnap VSS Provider;c:\windows\system32\dllhost.exe [04.08.2004 14:00 5120]
.
Inhalt des "geplante Tasks" Ordners

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-09 14:55]

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-09 14:55]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = hxxp://xxx-9:30464/xxxsportal
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MI699F~1\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\programme\VMware\VMware Workstation\vsocklib.dll
Trusted Zone: google.com
Trusted Zone: google.com\mail
Trusted Zone: immobilienscout24.de\www
Trusted Zone: superantispyware.com\www
TCP: {81F7093D-BC3A-472E-BC15-1B844946C29E} = 192.51.32.2
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\9d1yxpk1.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.de
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npicaN.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-NavLogon - (no file)
Notify-WgaLogon - (no file)
SafeBoot-Symantec Antvirus
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-11 16:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1160)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\LMIinit.dll
.
Zeit der Fertigstellung: 2010-05-11  16:07:11
ComboFix-quarantined-files.txt  2010-05-11 14:07

Vor Suchlauf: 15 Verzeichnis(se), 43.464.839.168 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 43.436.126.208 Bytes frei

- - End Of File - - E2EA840C600452765B2B16478F1856B5
Code:
ATTFilter
2010-05-11 14:06:00 . 2010-05-11 14:06:00              616 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Skype.reg.dat
2010-05-11 14:05:59 . 2010-05-11 14:05:59              582 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-Symantec Antvirus.reg.dat
2010-05-11 14:05:50 . 2010-05-11 14:05:50              332 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Notify-WgaLogon.reg.dat
2010-05-11 14:05:50 . 2010-05-11 14:05:50              306 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Notify-NavLogon.reg.dat
2010-05-11 14:03:03 . 2010-05-11 14:03:03            9,446 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-05-11 13:57:49 . 2010-05-11 13:57:49               51 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2007-11-07 07:03:18 . 2007-11-07 07:03:18          562,688 ----a-w-  C:\Qoobox\Quarantine\C\install.exe.vir
2007-02-23 09:46:14 . 2010-05-10 06:36:43            4,232 ----a-w-  C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat.vir
2007-02-23 09:46:14 . 2010-05-10 06:36:42            5,590 ----a-w-  C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat.vir
Code:
ATTFilter
7-Zip 4.42
Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player
AFPL Ghostscript 8.54
AFPL Ghostscript Fonts
Alcatel PIMphony 5.1.353
CCleaner
CD Audio Reader Filter (remove only)
Citrix Online Plug-in - Web
Citrix Online Plug-in (DV)
Citrix Online Plug-in (HDX)
Citrix Online Plug-in (USB)
Citrix Online Plug-in (Web)
COP - Compare & Procure
DirectVobSub (remove only)
DivX Content Uploader
DivX Web Player
DS-MP3 Source 1.30
DScaler 5 Mpeg Decoders
ESET Online Scanner v3
ffdshow [rev 1058+] [2007-03-22]
FreePDF XP (Remove only)
Google Earth
Google Toolbar for Internet Explorer
Google Update Helper
GTK+ 2.10.6-1 runtime environment
High Definition Audio - KB888111
HiJackThis
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB969084)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix für Windows XP (KB979306)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
ImgBurn
J2SE Runtime Environment 5.0 Update 6
Java 2 Runtime Environment, SE v1.4.2_18
Java(TM) 6 Update 11
LiveUpdate 3.3 (Symantec Corporation)
LogMeIn
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Security Update (KB953297)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Professional Edition 2003
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Report Viewer Redistributable 2005
Microsoft Software Update for Web Folders  (German) 12
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.6.3)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MSXML 4.0 SP2 Parser und SDK
NVIDIA Drivers
OpenSource Flash Video Splitter (remove only)
PDFCreator
Prevx
RealMedia (remove only)
Realtek High Definition Audio Driver
RedMon - Redirection Port Monitor
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB978380)
Security Update for Microsoft Office Excel 2007 (KB978382)
Security Update for Microsoft Office Outlook 2007 (KB972363)
Security Update for Microsoft Office PowerPoint 2007 (KB957789)
Security Update for Microsoft Office Publisher 2007 (KB980470)
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB969613)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Windows Search 4 - KB963093
SHOUTcast Source (remove only)
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows Media Player 9 (KB936782)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371-v2)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977165-v2)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB980232)
Spybot - Search & Destroy
Storeserver Generator 2.1
Storeserver Generator 3.0
SUPERAntiSpyware Free Edition
Symantec Backup Exec System Recovery 2010
Symantec Endpoint Protection-Client
The GIMP 2.2.14
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Outlook 2007 Help (KB963677)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
Update für Microsoft Windows (KB971513)
Update für Windows Internet Explorer 8 (KB973874)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows XP (KB955759)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for 2007 Microsoft Office System (KB967642)
Update for 2007 Microsoft Office System (KB981715)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft Office InfoPath 2007 (KB976416)
Update for Microsoft Office OneNote 2007 (KB980729)
Update for Microsoft Office Word 2007 (KB974561)
Update for Outlook 2007 Junk Email Filter (kb981433)
VideoLAN VLC media player 0.8.2
VMware Infrastructure Client 2.5
VMware Infrastructure Update
VMware Workstation
WebFldrs XP
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows Search 4.0
Windows XP Service Pack 3
XML Paper Specification Shared Components Language Pack 1.0
__________________
Geändert von shorts77 (11.05.2010 um 15:53 Uhr)

Alt 11.05.2010, 15:53   #4
shorts77
 
Logs sauber? Bitte überprüfen - Standard

Logs sauber? Bitte überprüfen


die beiden gelöschten .dat files gehören zu symantec backup exec habe ich gerade herausgefunden:

hxxp://www.symantec.com/connect/de/forums/gmgr0dat-gmgr1dat

edit: die install.exe passt von erstelldatum zu einer install.ini und noch ein paar install.res. dlls die noch auf c-root liegen. inhalt der ini: Microsoft Visual C++ 2008 Redistributable Package. somit scheint das wohl auch nur ein FP gewesen sein, da combofix wohl gerne unbekannte exe files aus dem root löscht.

die reg files enthalten lediglich symantec settings.

wenn ich mit tcpview keine seltsamen verbindungsversuche zu merkwürdigen ips entdecke, ist das doch auch schon mal poisitiv...oder können die rootkits owas auch verstecken?

puh, ich bin beruhigt...jetzt brauche ich nur noch bestätigung, dass die kiste wirklich astrein ist um meine paranoia loszuwerden.
Geändert von shorts77 (11.05.2010 um 16:08 Uhr)

Antwort

Themen zu Logs sauber? Bitte überprüfen
0 bytes, 0x00000001, acroiehelper.dll, adblock, adobe, antivirus, bho, browseui preloader, components, einstellungen, error, excel, excel.exe, exe datei, explorer, firefox, firefox 3.6.3, firefox.exe, gupdate, hijack, hkus\s-1-5-18, installation, location, logfile, malwarebytes' anti-malware, microsoft office 2003, mozilla, notebook, nvidia, object, oldtimer, otl log, otl logfile, otl.exe, pdf, performance, plug-in, realtek, registry, rootkit, rundll, safer networking, scan, searchplugins, senden, server, server 2003, software, system recovery


« "Ordner" stürzt ab - PC hängt sich auf | Abstürze nach Entfernung von Antimalware Doctor »


Ähnliche Themen: Logs sauber? Bitte überprüfen


  1. GVU-Trojaner 2.07 / Logs angehängt / System sauber?
    Log-Analyse und Auswertung - 05.10.2012 (8)
  2. Bundespolizei-Trojaner - Systemwiederherstellung durchgeführt - Sytem sauber? logs inside
    Log-Analyse und Auswertung - 19.07.2012 (28)
  3. Malwarebytes & OTL Logs sauber? Pc ungefährdet?
    Log-Analyse und Auswertung - 29.04.2011 (1)
  4. Keylogger im System/Logs überprüfen
    Log-Analyse und Auswertung - 25.12.2010 (3)
  5. Log Überprüfen bitte ! Ich mein ich hab Viren auf meinem Rechner ! Bitte
    Log-Analyse und Auswertung - 13.10.2009 (6)
  6. Virenwarnung, bitte Logs überprüfen.
    Log-Analyse und Auswertung - 20.03.2009 (8)
  7. Bitte einmal Hijackthis logs überprüfen
    Mülltonne - 15.01.2009 (0)
  8. Bitte um Prüfung des Logs
    Log-Analyse und Auswertung - 09.01.2008 (0)
  9. Bitte Überprüfen der Logs! (HijackThis, eScan)
    Log-Analyse und Auswertung - 14.08.2007 (4)
  10. Kann bitte jemand meine Log File überprüfen! BITTE
    Log-Analyse und Auswertung - 04.07.2007 (1)
  11. hijackthis logs überprüfen bitte :)
    Mülltonne - 09.06.2007 (1)
  12. Trojaner laut AntiVir/Bitte Hijacker Logs überprüfen, danke!!!
    Log-Analyse und Auswertung - 29.04.2007 (8)
  13. Bitte Bitte Bitte Bitte HiJackThis Log File überprüfen!!!
    Mülltonne - 13.01.2007 (0)
  14. Logs, könnte einer mal bitte überprüfen ?
    Mülltonne - 12.08.2006 (1)
  15. Logfile überprüfen bitte!!Weiß nicht weiter!!BITTE BITTE
    Log-Analyse und Auswertung - 18.03.2006 (10)
  16. Bitte meine Logs überprüfen...
    Log-Analyse und Auswertung - 15.11.2005 (1)
  17. Sind meine Logs sauber?
    Log-Analyse und Auswertung - 24.01.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Logs sauber? Bitte überprüfen - So ich will jetzt hier nicht durcheinanderkommen, sonst verzetteln wir uns hier mit Logfiles von unterschiedlichen Systemen!! 1) Sind die Logs jetzt nur von Deinem Office-PC? Offensichtlich ja, die sind - Logs sauber? Bitte überprüfen...
Archiv
Du betrachtest: Logs sauber? Bitte überprüfen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19