Netzwerk Trojaner

Klein-Yoda · 08.07.2010, 20:42

Hallo, ich habe mir in meinem Leichtsinn von dieser Seite die Datei heruntergeladen und ausgeführt:
h**p://w*w.blizzard-workshop.de/DCon.exe

Irgendjemand hat daraufhin auf meinen Homeserver zugegriffen, was er eig. nur durch einen Keylogger geschafft haben kann.
Außerdem gehen die Pings alle 45 sec von 20 ms auf über 300 ms.
Nun vermute ich, dass alle Computer in meinem Netzwerk mit einem Trojaner infiziert sind.

Ich habe die Rechner bereits mit Combofix und Malwarebytes gescannt.

Was soll ich nun tun?

cosinus · 08.07.2010, 22:01

Ist ein ziemlich neuer Schädling. Poste die bereits erstellten Logs (Combofix & Malwarebytes)

Klein-Yoda · 09.07.2010, 16:57

Code:

ATTFilter

ComboFix 10-07-06.05 - Schwartz 07.07.2010  19:21:00.4.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1013.640 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Schwartz\Desktop\achfuck.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-07 bis 2010-07-07  ))))))))))))))))))))))))))))))
.

2010-07-06 21:10 . 2010-07-06 21:18	--------	d-----w-	C:\eatmyshorts32553e
2010-07-05 21:11 . 2010-07-05 21:21	--------	d-----w-	C:\eatmyshorts
2010-07-05 14:41 . 2010-07-05 14:41	552	----a-w-	c:\windows\system32\d3d8caps.dat
2010-07-04 21:10 . 2010-07-04 21:10	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-07-04 14:05 . 2010-07-04 14:05	--------	d-----w-	C:\ProgramData
2010-06-28 15:37 . 2010-06-03 08:05	343552	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtwjhns.default\extensions\ietab@ip.cn\plugins\npCoralIETab.dll
2010-06-26 23:49 . 2010-06-26 23:49	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\.minecraft
2010-06-13 21:33 . 2010-06-13 21:33	--------	d-----w-	c:\programme\GCF BruteForce IV+
2010-06-13 21:33 . 1997-02-06 14:51	32768	----a-w-	c:\windows\system32\CmDlgDE.dll
2010-06-13 21:32 . 1998-05-15 18:01	99866	----a-w-	c:\windows\system32\VB5DE.dll
2010-06-13 21:32 . 1997-02-25 22:00	72704	----a-w-	c:\windows\ST5UNST.EXE
2010-06-13 21:32 . 1997-01-15 22:00	29696	----a-w-	c:\windows\system32\VB5StKit.dll
2010-06-13 21:32 . 2010-06-13 21:32	--------	d-----w-	C:\GCF BruteForce
2010-06-13 01:27 . 2010-06-27 21:38	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\TS3Client
2010-06-13 01:24 . 2010-06-13 01:25	--------	d-----w-	c:\programme\TeamSpeak 3 Client
2010-06-10 21:29 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-08 22:33 . 2010-06-08 22:33	57344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-06-08 22:32 . 2010-06-08 22:29	1062184	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-06-08 22:32 . 2010-06-08 22:29	895256	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-06-08 22:32 . 2010-06-08 22:32	56765	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-06-08 22:32 . 2010-06-08 22:32	56997	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-06-08 22:32 . 2010-06-08 22:32	53600	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-06-08 22:32 . 2010-06-08 22:32	57715	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-06-08 22:32 . 2010-06-08 22:35	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\DivX
2010-06-08 22:32 . 2010-06-08 22:32	84062	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-06-08 22:32 . 2010-04-27 18:40	126448	------w-	c:\windows\system32\pxinsi64.exe
2010-06-08 22:32 . 2010-04-27 18:40	123888	------w-	c:\windows\system32\pxcpyi64.exe
2010-06-08 22:30 . 2010-06-08 22:32	--------	d-----w-	c:\programme\DivX
2010-06-08 22:29 . 2010-06-08 22:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 21:04 . 2009-08-19 09:30	--------	d-----w-	c:\programme\Warcraft III
2010-07-06 20:53 . 2009-03-28 18:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-07-05 14:26 . 2008-07-25 19:01	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Skype
2010-07-05 14:02 . 2008-07-25 19:01	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\skypePM
2010-07-04 23:21 . 2010-03-15 23:24	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-03 13:24 . 2010-03-22 21:42	--------	d-----w-	c:\programme\AutoIt3
2010-06-30 09:55 . 2010-04-24 15:04	--------	d-----w-	c:\programme\Cheat Engine
2010-06-29 23:08 . 2010-04-16 23:32	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\gtk-2.0
2010-06-23 11:38 . 2008-04-14 12:00	81526	----a-w-	c:\windows\system32\perfc007.dat
2010-06-23 11:38 . 2008-04-14 12:00	450888	----a-w-	c:\windows\system32\perfh007.dat
2010-06-13 14:25 . 2010-05-13 15:29	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\vlc
2010-06-06 10:32 . 2010-04-21 19:02	--------	d-----w-	c:\programme\CCleaner
2010-06-05 21:21 . 2010-04-11 14:06	--------	d-----w-	c:\programme\Microsoft Silverlight
2010-05-30 15:42 . 2010-04-03 21:42	443912	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Real\Update\setup3.10\setup.exe
2010-05-24 23:52 . 2010-05-24 23:52	503808	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3795bb4e-n\msvcp71.dll
2010-05-24 23:52 . 2010-05-24 23:52	12800	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-408b0379-n\decora-d3d.dll
2010-05-24 23:52 . 2010-05-24 23:52	499712	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3795bb4e-n\jmc.dll
2010-05-24 23:52 . 2010-05-24 23:52	61440	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-408b0379-n\decora-sse.dll
2010-05-24 23:52 . 2010-05-24 23:52	348160	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3795bb4e-n\msvcr71.dll
2010-05-24 12:14 . 2010-04-26 18:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Screentime
2010-05-24 12:08 . 2010-05-24 12:08	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-05-24 12:08 . 2009-08-07 13:45	--------	d-----r-	c:\programme\Skype
2010-05-24 00:20 . 2010-05-24 00:20	--------	d-----w-	c:\programme\RocketDock
2010-05-23 15:50 . 2010-06-05 13:52	73216	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtwjhns.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
2010-05-23 10:57 . 2010-05-23 10:54	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Process Hacker
2010-05-23 10:53 . 2010-05-23 10:51	--------	d-----w-	c:\programme\Process Hacker
2010-05-21 11:51 . 2008-06-10 10:11	--------	d-----w-	c:\programme\Google
2010-05-16 12:19 . 2008-08-01 11:24	1004	--sha-w-	c:\windows\system32\KGyGaAvL.sys
2010-05-15 14:37 . 2010-05-15 14:37	--------	d-----w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Avira
2010-05-13 15:27 . 2010-05-13 15:27	--------	d-----w-	c:\programme\VideoLAN
2010-05-12 10:36 . 2010-05-12 10:36	--------	d-----w-	c:\programme\Avira
2010-05-12 10:36 . 2010-05-12 10:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-05-08 14:57 . 2010-05-08 14:57	3351812	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{73C0DA51-DB32-4F66-970B-7298F3CAF37F}\Installer\CommonCustomActions\msxml6Exec.exe
2010-05-08 14:57 . 2010-05-08 14:57	36864	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{73C0DA51-DB32-4F66-970B-7298F3CAF37F}\Installer\CommonCustomActions\Sleep.exe
2010-05-08 14:57 . 2010-05-08 14:57	3203453	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{73C0DA51-DB32-4F66-970B-7298F3CAF37F}\Installer\CommonCustomActions\vcredistExec.exe
2010-05-08 14:57 . 2010-05-08 15:00	35748120	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{73C0DA51-DB32-4F66-970B-7298F3CAF37F}\NokiaSoftwareUpdaterSetup_en.exe
2010-05-08 14:48 . 2010-05-08 14:48	95232	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\pcswpcsi.exe
2010-05-08 14:48 . 2010-05-08 14:48	8192	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstCCD.exe
2010-05-08 14:48 . 2010-05-08 14:48	61440	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-05-08 14:48 . 2010-05-08 14:48	10240	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstPCS.exe
2010-05-08 14:47 . 2010-05-08 14:48	34399664	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Nokia_PC_Suite_eng_web.exe
2010-05-06 10:31 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2008-04-14 12:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-05-01 12:44 . 2010-05-01 12:46	330344	----a-w-	c:\windows\RCoUn.EXE
2010-04-29 13:39 . 2010-03-15 23:24	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-03-15 23:24	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-27 18:40 . 2009-04-04 11:44	9200	------w-	c:\windows\system32\drivers\cdralw2k.sys
2010-04-27 18:40 . 2009-04-04 11:44	9072	------w-	c:\windows\system32\drivers\cdr4_xp.sys
2010-04-27 18:40 . 2009-04-04 11:44	45648	------w-	c:\windows\system32\drivers\PxHelp20.sys
2010-04-27 18:40 . 2009-04-04 11:44	133616	------w-	c:\windows\system32\pxafs.dll
2010-04-24 18:59 . 2010-04-24 18:59	257257	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\OpenCandy\DLMgr3WrapperUniBlue.exe
2010-04-24 10:50 . 2010-04-24 09:58	50160	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-22 20:21 . 2008-07-06 09:15	50160	----a-w-	c:\dokumente und einstellungen\Schwartz\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-21 12:13 . 2007-09-29 21:03	308248	----a-w-	c:\windows\system32\drivers\iaStor.sys
2010-04-20 05:29 . 2008-04-14 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-19 14:08 . 2010-04-19 14:08	61440	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-685c9761-n\decora-sse.dll
2010-04-19 14:08 . 2010-04-19 14:08	503808	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5ee49d24-n\msvcp71.dll
2010-04-19 14:08 . 2010-04-19 14:08	499712	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5ee49d24-n\jmc.dll
2010-04-19 14:08 . 2010-04-19 14:08	348160	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5ee49d24-n\msvcr71.dll
2010-04-19 14:08 . 2010-04-19 14:08	12800	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-685c9761-n\decora-d3d.dll
2010-04-19 14:07 . 2010-04-19 14:08	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-04-18 12:33 . 2010-06-05 13:52	172032	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtwjhns.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe
2010-04-18 12:33 . 2010-06-05 13:52	307200	----a-w-	c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtwjhns.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"UCam_Menu"="c:\programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"RemoteControl"="c:\programme\HomeCinema\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\programme\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\programme\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Home Server.lnk - c:\windows\Installer\{21E49794-7C13-4E84-8659-55BD378267D5}\WHSTrayApp.exe [2010-4-21 609128]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= firefox.exe
"2"= opera.exe
"3"= chrome.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50	1144104	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler]
2007-01-02 21:21	83568	----a-w-	c:\programme\WordPerfect Office X3\Programs\QFSCHD130.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RocketDock]
2007-09-02 11:58	495616	----a-w-	c:\programme\RocketDock\RocketDock.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43	248040	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-03-28 18:42	39408	----a-w-	c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-07-13 09:26	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
2007-02-09 13:54	16896	----a-w-	c:\program files\GoogleEULA\EULALauncher.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\XLink Kai\\kaiEngine.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"=
"c:\\Dokumente und Einstellungen\\Schwartz\\Desktop\\Windows XP\\wtvClient0.97.02\\wtvClient.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\NetBeans 6.8\\bin\\netbeans.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\AutoIt3\\AutoIt3.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Warcraft 3
"6113:TCP"= 6113:TCP:GHost++ Hosting Port
"6114:TCP"= 6114:TCP:GHost++ Admin Game Port

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.05.2010 12:36 135336]
R2 WHSConnector;Windows Home Server-Connectordienst;c:\programme\Windows Home Server\WHSConnector.exe [07.10.2009 15:27 376680]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10.06.2008 11:51 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [24.05.2008 11:56 572416]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [25.01.2008 11:12 25088]
R4 KProcessHacker;KProcessHacker;c:\programme\Process Hacker\kprocesshacker.sys [23.05.2010 12:51 59904]
S0 zuitb;zuitb; [x]
S2 gupdate1c9afd5349effa0;Google Update Service (gupdate1c9afd5349effa0);c:\programme\Google\Update\GoogleUpdate.exe [28.03.2009 20:44 133104]
S2 Micro Star SCM;Micro Star SCM;c:\programme\System Control Manager\MSIService.exe [10.06.2008 11:23 159744]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [24.05.2008 18:38 1527900]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]
S3 PsSdk41;PsSdk41;c:\windows\system32\drivers\pssdk41.sys [03.07.2009 15:12 36928]
S4 BGRaSvc;BGRaSvc;"c:\programme\BullGuard Software\BullGuard\support\bgrasvc.exe" --> c:\programme\BullGuard Software\BullGuard\support\bgrasvc.exe [?]
.
Inhalt des "geplante Tasks" Ordners

2010-07-07 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-06-10 18:42]

2010-07-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-28 18:43]

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-28 18:43]

2010-07-07 c:\windows\Tasks\User_Feed_Synchronization-{65126A7E-6776-4BEE-B157-CEF9EB8D2176}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Save Flash - c:\programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
IE: Save YouTube Video - c:\programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/217
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
Trusted Zone: homeserver.com\klein-yoda
Trusted Zone: homeserver.com\schwartz-gp
DPF: ZapLive.tv Publisher - hxxp://www.zaplive.tv/flixpub/plugins/zaplivetv_publisher.CAB
FF - ProfilePath - c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtwjhns.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.de/
FF - component: c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtwjhns.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
FF - plugin: c:\dokumente und einstellungen\Schwartz\Anwendungsdaten\Mozilla\Firefox\Profiles\ojtwjhns.default\extensions\ietab@ip.cn\plugins\npCoralIETab.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-07 19:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3692956445-2446817853-4232904795-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{405F288E-9CC4-8E6E-4AA9-9029483AF394}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(4040)
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-07-07  19:29:30
ComboFix-quarantined-files.txt  2010-07-07 17:29
ComboFix2.txt  2010-07-06 21:18
ComboFix3.txt  2010-07-05 21:21
ComboFix4.txt  2010-04-27 14:19

Vor Suchlauf: 18 Verzeichnis(se), 52.128.661.504 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 52.113.461.248 Bytes frei

- - End Of File - - 05359D1A615082FFCF81DA37CC5BDEC3

Klein-Yoda · 09.07.2010, 17:15

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4275

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.07.2010 01:34:03
mbam-log-2010-07-05 (01-34-03).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 133515
Laufzeit: 9 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{s6dl6wwv-e40m-y7ph-m3cd-57527j52p00e} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\4c7e717a (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\4c7e717a.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Schwartz\Anwendungsdaten\cglogs.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Schwartz\Lokale Einstellungen\temp\IELOGIN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Schwartz\Lokale Einstellungen\temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4275

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.07.2010 15:39:00
mbam-log-2010-07-05 (15-39-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 210933
Laufzeit: 1 Stunde(n), 29 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\AutoIt3\Extras\SQLite\sqlite3.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4275

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.07.2010 15:39:00
mbam-log-2010-07-05 (15-39-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 210933
Laufzeit: 1 Stunde(n), 29 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\AutoIt3\Extras\SQLite\sqlite3.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

cosinus · 10.07.2010, 13:09

Zitat:

Datenbank Version: 4275

Bitte Malwarebytes aktualisieren und einen weiteren Vollscan starten.

08.07.2010, 22:01	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Netzwerk Trojaner Ist ein ziemlich neuer Schädling. Poste die bereits erstellten Logs (Combofix & Malwarebytes) __________________ __________________

Netzwerk Trojaner

Plagegeister aller Art und deren Bekämpfung: Netzwerk Trojaner