| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antivir meldet alle 10min. TR/PSW.Zbot.133169.YWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.07.2010, 11:11
| #16 |
 |  Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Hallo Arne, hier mein Log: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-08.02 - Mario 09.07.2010 11:48:32.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1526.1034 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Mario\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Mario\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-09 bis 2010-07-09 ))))))))))))))))))))))))))))))
.
2010-07-07 21:34 . 2010-07-07 21:34 -------- d-----w- C:\_OTL
2010-07-01 12:10 . 2010-07-01 12:10 -------- d-----w- c:\programme\trend micro
2010-07-01 12:10 . 2010-07-01 12:10 -------- d-----w- C:\rsit
2010-07-01 11:39 . 2010-07-01 11:39 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Malwarebytes
2010-07-01 11:39 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-01 11:38 . 2010-07-01 11:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-01 11:38 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-01 11:38 . 2010-07-01 11:39 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-11 07:23 . 2010-05-06 10:31 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-08 13:42 . 2009-09-23 07:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-08 12:36 . 2009-11-12 11:57 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Avow
2010-07-07 22:22 . 2009-10-07 06:59 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Skype
2010-07-07 22:21 . 2009-10-07 07:00 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\skypePM
2010-07-07 08:55 . 2009-08-27 00:08 -------- d-----w- c:\programme\JDownloader 0.7
2010-07-01 07:12 . 2010-04-24 13:57 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Media Player Classic
2010-07-01 07:07 . 2009-09-21 15:58 -------- d-----w- c:\programme\CCleaner
2010-06-23 07:10 . 2006-03-24 12:00 85694 ----a-w- c:\windows\system32\perfc007.dat
2010-06-23 07:10 . 2006-03-24 12:00 462840 ----a-w- c:\windows\system32\perfh007.dat
2010-05-28 09:20 . 2010-05-27 15:12 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Academic Software Zurich
2010-05-27 14:49 . 2010-05-27 14:47 -------- d-----w- c:\programme\Citavi
2010-05-25 18:50 . 2010-05-25 18:50 4 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\ovczpx.dat
2010-05-22 15:26 . 2010-05-22 15:26 503808 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e1fb571-n\msvcp71.dll
2010-05-22 15:26 . 2010-05-22 15:26 499712 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e1fb571-n\jmc.dll
2010-05-22 15:26 . 2010-05-22 15:26 348160 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e1fb571-n\msvcr71.dll
2010-05-22 15:26 . 2010-05-22 15:26 61440 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-44b7fd7b-n\decora-sse.dll
2010-05-22 15:26 . 2010-05-22 15:26 12800 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-44b7fd7b-n\decora-d3d.dll
2010-05-16 14:39 . 2010-05-16 14:39 -------- d-----w- c:\programme\AviSynth 2.5
2010-05-16 14:38 . 2010-05-16 14:38 -------- d-----w- c:\programme\eRightSoft
2010-05-14 11:28 . 2009-09-10 08:32 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\U3
2010-05-10 13:14 . 2010-05-10 12:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-05-06 10:31 . 2006-03-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2006-03-24 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2006-03-24 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 18:00 . 2010-04-24 13:53 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-04-12 15:29 . 2010-04-19 14:52 411368 ----a-w- c:\windows\system32\deployJava1.dll
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2010-05-16 14:39 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2010-05-16 14:39 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2010-05-16 14:39 216064 --sh--r- c:\windows\system32\nbDX.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-07-08_12.57.45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-09 09:43 . 2010-07-09 09:43 16384 c:\windows\Temp\Perflib_Perfdata_5e8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2010-01-08 02:17 700416 ----a-w- c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll" [2010-01-08 700416]
[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-05-09 94208]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 798810]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 16251904]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 557056]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-07-17 65536]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adolix Wallpaper Changer.lnk - c:\programme\Adolix\Adolix Wallpaper Changer\AWC.exe [2009-12-11 1946624]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"c:\\Programme\\Java\\jdk1.6.0_17\\bin\\java.exe"=
"c:\\Downloads\\eclipse\\eclipse.exe"=
"c:\\Programme\\Eclipse-3.4\\eclipse\\eclipse.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.08.2009 15:31 135336]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [08.01.2010 01:51 380928]
R2 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [?]
R2 vpnagent;Cisco AnyConnect VPN Agent;c:\programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [11.12.2008 02:03 417464]
S1 mailKmd;mailKmd; [x]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.11.2009 17:47 691696]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Mario\Anwendungsdaten\Mozilla\Firefox\Profiles\tjqxeqh6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=18&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www9.comunio.de/
FF - prefs.js: keyword.URL - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=18&tid={3AAA471D-BB41-957C-0E56-EACF8599AB17}&q=
FF - component: c:\dokumente und einstellungen\Mario\Anwendungsdaten\Mozilla\Firefox\Profiles\tjqxeqh6.default\extensions\gwt-dev-plugin@google.com\lib\WINNT_x86-msvc\ff36\xpGwtDevPlugin.dll
FF - component: c:\programme\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
FF - component: c:\programme\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
FF - plugin: c:\dokumente und einstellungen\Mario\Anwendungsdaten\Mozilla\Firefox\Profiles\tjqxeqh6.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-09 11:54
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(888)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-07-09 11:56:35
ComboFix-quarantined-files.txt 2010-07-09 09:56
ComboFix2.txt 2010-07-08 12:59
Vor Suchlauf: 14 Verzeichnis(se), 18.260.516.864 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 18.242.207.744 Bytes frei
- - End Of File - - 738B9E981AADD648287A583BE90CECD3
Gruß, Mario |
| Themen zu Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y |
| aktion, antivir, antivir meldet, c:\windows, datei, folge, forum, lösung, malware, melde, meldet, min, ordner, problem, programm, svchost.exe, temp, temporäre, tr/psw.zbot., trojan, unerwünschtes programm, verweigert, virus, wechsel, windows, zugriff, zugriff verweigert |
Baum-Darstellung