Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.10.2010, 19:38   #1
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Hallo Freunde,

verwende Firefox in der aktuellsten Version (3.6.11) auf Windows XP prof.

Ein Scan mit Malwarebytes' Anti-Malware hat mich auf das Verzeichnis C:\Windows\system32\xmldm aufmerksam gemacht. (Stolen Data).

Mit diesem Verzeichnis kann ich folgendes Verhalten beobachten:
Sobald ich mit Firefox eine Seite öffne, die Login-Daten erfordert, werden dort Dateien angelegt nach folgendem Muster:
3204_FF_0000000989_ifrm.htm
3204_FF_0000000990_ifrm.htm
3204_FF_0000000991.pst
3204_FF_0000000992_ifrm.htm

Die ersten beiden Dateien wurden beispielsweise erstellt in dem Moment, als ich auf die T-Online-Seite kam. Wenn ich dann meine Zugangsdaten eingebe werden die beiden nächsten Dateien erstellt. Die *.htm Dateien scheinen die Abbilder der besuchten Seiten zu sein. Sie enthalten soweit ich das beurteilen kann die URL der Originalseite mit zig Parametern. Die.pst Datei enthält ebenfalls eine URL und mittendrin meine gesendeten Zugangsdaten in Klarschrift. Die letzte Datei gibt dann wohl das Ergebnis wieder, ob der Zugang erfolgreich war oder nicht.

Ich weiß nicht, ob das bei jeder Seite passiert, die ein Formular enthält oder nur bei https . Ich vermute letzteres.

Dieses Verhalten gibt es nur bei Firefox. Dieselbe Seite in IE6 geöffnet passiert nix (hopefully ... zumindest nicht an dieser Stelle). Wenn man das Verzeichnis löscht, wird es neu angelegt und befüllt, sobald man mit FF auf eine entsprechende Seite kommt.

Ich verwende Avira Antivir Personal. Ein Komplettscan des System zeigt keinerlei Infektion oder sonstige Hinweise. Ein Komplettscan mit Malwarebytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.

Hat jemand eine Idee, was das sein könnte und wie man´s wieder los wird.

Vielen Dank für eure Mühe.

Alt 25.10.2010, 20:56   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Zitat:
Ein Komplettscan mit Malwarebytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.
Das Log bitte immer posten!
__________________

__________________

Alt 26.10.2010, 17:59   #3
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Sorry, nix gedacht.
Vor allem hatte ich nicht dran gedacht bei meinem "Komplettscan" die externen Festplatten mit zu brücksichtigen. Also nochmal von vorne:

1. Komplettscan mit MalwareByte findet Infektionen: mbam-log-2010-10-26 (08-57-30) ... das sind die externen Platten, die ich vergessen hatte.

2. Infektionen beseitigt / Reboot / erneuter Komplettscan, diesmal ohne Befund: mbam-log-2010-10-26 (12-31-39)

3. Firefox starten: In diesem Moment wird das Verzeichnis windows/system32/xmldm angelegt.

4. irgendeine Seite mit https aufrufen (in diesem Fall t-online.de) und die ersten Dateien tauchen im Verzeichnis xmldm auf.

5. Einloggen als MEINNAME mit MEINPASSWORT und dann in der frischerstellten *.pst-Datei genauso nachzulesen.

6. diesmal nur Quickscan: mbam-log-2010-10-26 (17-14-43)

7. goto 2.

------
Danke
Jürgen

... ups! Schon wieder nix gedacht: Load und die anderen Protokolle folgen nach
__________________
Angehängte Dateien
Dateityp: txt mbam-log-2010-10-26 (08-57-30).txt (2,5 KB, 220x aufgerufen)
Dateityp: txt mbam-log-2010-10-26 (12-31-39).txt (1,1 KB, 186x aufgerufen)
Dateityp: txt mbam-log-2010-10-26 (17-14-43).txt (1,4 KB, 239x aufgerufen)

Geändert von l-vis101 (26.10.2010 um 18:10 Uhr)

Alt 26.10.2010, 20:02   #4
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



So, nochmals sorry, ich hoffe ich hab nun alles richtig gemacht.

Alle Logs im Anhang,
defogger_disable lässt sich nicht anfügen. Inhalt wie folgt:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:40 on 26/10/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Angehängte Dateien
Dateityp: txt mbam-log-2010-10-26 (18-37-03).txt (1,1 KB, 198x aufgerufen)
Dateityp: txt Gmer.txt (8,8 KB, 215x aufgerufen)
Dateityp: txt OTL.Txt (85,3 KB, 193x aufgerufen)
Dateityp: txt Extras.Txt (52,8 KB, 224x aufgerufen)

Alt 27.10.2010, 17:08   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Zitat:
[2010.10.25 16:44:47 | 000,000,000 | ---D | C] -- C:\Qoobox
1. sollte Combofix nur auf Anweisung hin ausgeführt werden
2. darfst Du auch das Log nicht einfach weglassen

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.10.2010, 23:45   #6
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Hallo Arne,
ich mach schon mehrere Tage rum und hab in der Zeit so ziemlich alles ausprobiert, was irgendwo mal empfohlen wurde. Wahrscheinlich hab ich´s dadurch nur schlimmer gemacht. Combofix ist irgendwann früher mal gelaufen. Das Log, das du ansprichst ist wahrscheinlich das im Anhang. Als ich dann dieses Forum gefunden habe, ist mir klar geworden, dass ich´s alleine nicht schaffen kann und vor allem einen roten Faden reinbringen muss. Aus meinen Mails kannst du sicher rauslesen, dass ich etwas durch den Wind war/bin.
Siehst du eine Chance, dass noch was zu retten ist? Danke für deine Hilfe.
Jürgen
Angehängte Dateien
Dateityp: txt ComboFix.txt (14,7 KB, 225x aufgerufen)

Alt 28.10.2010, 13:22   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
@Alternate Data Stream - 951 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:ivIv6dDUpE1Aygfy55WGg33WYS
@Alternate Data Stream - 789 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:dK5PP84onzag4IvvD2xGTCUq
@Alternate Data Stream - 780 bytes -> C:\Programme\WindowsUpdate:QaXdOyoyO0W4f6eYMLxYXDpqb
@Alternate Data Stream - 100 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CC9DD8FE
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.10.2010, 16:11   #8
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Ok, ist gelaufen.
Log im Anhang
Reboot war nötig
im Verzeichnis MovedFiles steht am Ende ../System32/drivers/etc/hosts

Alt 28.10.2010, 16:20   #9
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



LOG will sich nicht anhängen lassen ("ungültige Datei" ?)

10282010_145731.log

All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:ivIv6dDUpE1Aygfy55WGg33WYS deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:dK5PP84onzag4IvvD2xGTCUq deleted successfully.
ADS C:\Programme\WindowsUpdate:QaXdOyoyO0W4f6eYMLxYXDpqb deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CC9DD8FE deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: l-vis
->Temp folder emptied: 108472752 bytes
->Temporary Internet Files folder emptied: 23155761 bytes
->Java cache emptied: 221949 bytes
->FireFox cache emptied: 20212898 bytes
->Flash cache emptied: 554 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: SysBuilder
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5010 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 145,00 mb


OTL by OldTimer - Version 3.2.17.1 log created on 10282010_145731

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Alt 28.10.2010, 19:54   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.10.2010, 23:56   #11
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



ok, ComboFix ist gelaufen.
ich habe deine Anweisungen so verstanden, dass zuerst CCleaner durchgeführt werden muss. Die Anleitung dazu ist nicht mehr 100% uptodate. Statt der yahoo-Toolbar gab`s eine Seite weiter eine Google-Toolbar (aufpassen, dass die nicht aus versehen mit installiert wird !)
Der Avira-Schlüssel blieb zum Schluss noch wie beschrieben übrig.

Combofix hat dann auch prompt avira angemeckert und das gleich 4x, ich kann Avira aber nur deaktivieren, nicht ganz ausschalten.

Reboot gab´s auch keinen nach Combofix. Statt C:\Combofix habe ich ein Verzeichnis C:\cmdcons erhalten und das Log befand sich an anderer Stelle. Anyway, here it is:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-27.A3 - l-vis 28.10.2010  23:17:44.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.511 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\l-vis\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010D-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\xmldm

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-28  ))))))))))))))))))))))))))))))
.

2010-10-28 12:57 . 2010-10-28 12:57	--------	d-----w-	C:\_OTL
2010-10-26 16:26 . 2010-10-26 16:27	--------	d-----w-	c:\programme\ERUNT
2010-10-07 18:04 . 2010-10-23 09:34	--------	d-----w-	c:\dokumente und einstellungen\l-vis\TV-Browser
2010-10-07 18:04 . 2010-10-07 18:04	--------	d-----w-	c:\programme\TV-Browser
2010-10-05 19:59 . 2010-10-05 19:59	--------	d-----w-	c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Malwarebytes
2010-10-05 19:59 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-05 19:59 . 2010-10-05 19:59	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-05 19:59 . 2010-10-05 19:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-05 19:59 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-05 19:23 . 2010-10-28 20:51	--------	d-----w-	c:\programme\CCleaner
2010-10-04 09:22 . 2010-10-04 09:22	--------	d-----w-	c:\dokumente und einstellungen\l-vis\.thumbnails

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 15:38 . 2007-06-30 10:09	164880	---ha-w-	c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
2010-09-28 08:11 . 2006-07-15 18:39	60416	----a-w-	c:\windows\ALCFDRTM.VER
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-10-25_15.01.50   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-26 16:28 . 2010-10-26 16:28	61440              c:\windows\ERDNT\26.10.2010\Users\00000004\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28	8192              c:\windows\ERDNT\26.10.2010\Users\00000006\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28	8192              c:\windows\ERDNT\26.10.2010\Users\00000002\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28	237568              c:\windows\ERDNT\26.10.2010\Users\00000005\NTUSER.DAT
+ 2010-10-26 16:28 . 2010-10-26 16:28	237568              c:\windows\ERDNT\26.10.2010\Users\00000001\NTUSER.DAT
+ 2010-10-26 16:28 . 2005-10-20 10:02	163328              c:\windows\ERDNT\26.10.2010\ERDNT.EXE
+ 2005-09-29 15:07 . 2010-10-25 23:13	2396176              c:\windows\system32\FNTCACHE.DAT
+ 2010-10-26 16:28 . 2010-10-26 16:28	16678912              c:\windows\ERDNT\26.10.2010\Users\00000003\NTUSER.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-19 113664]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-10-3 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-08-30 05:32	61440	----a-r-	c:\programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-12-07 21:57	30208	------w-	c:\programme\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SansaDispatch]
2007-10-22 11:52	75584	----a-w-	c:\programme\Sandisk\Sansa Updater\SansaDispatch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe_ID0EYTHM"=c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"WinSys2"=c:\windows\system32\winsys2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.08.2009 21:36 108289]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [03.10.2009 23:32 10384]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 Mouautidcim;Mouautidcim; [x]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Download by GAS - c:\progra~1\GETASF~1\ie_MenuExt.htm
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
FF - component: c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\component.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\windows\system32\5003\components\AcroFF003.dll
FF - plugin: c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-28 23:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B4301F9-2D2F-1215-19C1-D069FCD8917B}*]
"oaefccecinhbnhcjmjacepnpeodcgo"=hex:64,61,65,64,62,6d,6d,66,00,d0
"oaagimkjimhmbjpfkelieoncppnfcj"=hex:6a,61,65,64,70,6c,66,67,62,67,64,66,6c,6d,
   6c,70,62,67,66,6a,00,fd
"naodmckcjmlbfgdjjonhmnnflgdm"=hex:6a,61,65,64,70,6c,66,67,62,67,64,66,6c,6d,
   6c,70,62,67,66,6a,00,fd

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46CA0A83-C9D3-257D-1BAF-C9F96110EA81}*]
"oadcojgpmpjljmnegbihbdjbkaogob"=hex:6b,61,63,70,67,62,63,6b,63,6c,6d,69,6b,66,
   62,6c,6e,6d,6f,6f,65,6f,00,00
"nanaeihhoeemfkelkcddmfkaboeh"=hex:6a,61,70,6f,65,62,6f,6f,61,6e,6d,67,6f,61,
   68,61,63,66,6d,6e,00,fd
"oapaokkfmabgimhilckoabmhacpfnp"=hex:64,61,70,6f,65,62,66,62,00,60
"ealaokgpkn"=hex:61,61,00,00
"caabel"=hex:6c,62,64,70,67,6d,6f,6f,6b,70,6f,65,6b,6a,6f,64,70,6a,62,61,62,62,
   70,6e,66,69,62,6b,6c,6e,6a,6c,70,65,69,6c,69,69,67,63,66,67,6b,70,66,6c,6d,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(1716)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\SSSensor.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2010-10-28  23:25:28
ComboFix-quarantined-files.txt  2010-10-28 21:25

Vor Suchlauf: 1.389.957.120 Bytes frei
Nach Suchlauf: 1.375.481.856 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 8EDE3C13F2A8DD556B65C607ADAAD283
         
--- --- ---
Miniaturansicht angehängter Grafiken
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm-combofix-warnung.jpg  

Alt 29.10.2010, 13:27   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Seccenter::
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010D-0D24-347CA8A3377C}

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Regnull::
[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B4301F9-2D2F-1215-19C1-D069FCD8917B}*]
[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46CA0A83-C9D3-257D-1BAF-C9F96110EA81}*]

Driver::
Mouautidcim
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.10.2010, 14:07   #13
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Aktuelles Combofix-log
... hat das Ding, das wir hier bekämpfen einen Namen?
Angehängte Dateien
Dateityp: txt ComboFix.txt (13,9 KB, 163x aufgerufen)

Alt 30.10.2010, 19:10   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 31.10.2010, 14:31   #15
l-vis101
 
Firefox loggt alle Zugriffsdaten im Verzeichnis  windows/system32/xmldm - Standard

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm



Die gewünschten Logs im Anhang

... ein kleines Dankeschön für deine Mühe zwischendurch !

Jürgen
Angehängte Dateien
Dateityp: txt Gmer Log .txt (9,8 KB, 173x aufgerufen)
Dateityp: txt osam.log.txt (16,8 KB, 201x aufgerufen)
Dateityp: txt MBRCheck_10.31.10_14.21.18.txt (9,4 KB, 165x aufgerufen)

Antwort

Themen zu Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm
anti-malware, antivir, avira, avira antivir, c:\windows, data, dateien, ebenfalls, ergebnis, erstellt, firefox, folge, infektion, login-daten, löscht, malwarebytes, neu, scan, seite, seiten, stolen data, stolen.data, system, system32, version, windows, windows xp, xmldm



Ähnliche Themen: Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm


  1. TROJAN.Dropper unter Windows 7,64bit Version im "Datev-Verzeichnis"
    Log-Analyse und Auswertung - 30.12.2013 (31)
  2. stolen.data virus system 32 xmldm kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (23)
  3. Wie schlimm ist diese Meldung? C:\WINDOWS\system32\xmldm\serial.dbg (Stolen.Data) -> Keine Aktion durchgeführt.
    Log-Analyse und Auswertung - 03.03.2013 (13)
  4. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  5. Statt Verzeichnis-Symbol erscheint Papierkorbsymbol - kein Zugriff auf Verzeichnis mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (3)
  6. von acroiehelpe.dll jetzt zu C:\WINDOWS\system32\xmldm (Stolen.Data)
    Plagegeister aller Art und deren Bekämpfung - 21.04.2012 (26)
  7. Stolen.Data in D:\WINDOWS\System32\xmldm
    Log-Analyse und Auswertung - 29.03.2012 (5)
  8. Virus stolen.data system32 xmldm spy.banker
    Log-Analyse und Auswertung - 30.11.2011 (51)
  9. Windows konnte alle Daten für die Datei \\System32\\496A8300 nicht speichern
    Plagegeister aller Art und deren Bekämpfung - 05.06.2011 (1)
  10. Windows konnte alle Daten fur die Datei \\System32\\496A8300 nicht speichern...
    Log-Analyse und Auswertung - 22.04.2011 (15)
  11. Windows konnte alle Daten fur die Datei \\System32\\496A8300 nicht speichern. Daten verloren.
    Log-Analyse und Auswertung - 22.04.2011 (10)
  12. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  13. Laptop loggt sich nicht mehr ein
    Alles rund um Windows - 05.02.2011 (7)
  14. Was loggt ein Proxy Server?
    Überwachung, Datenschutz und Spam - 26.12.2009 (21)
  15. AVIRA 28.11.09 7 TR Funde alle in c:\windows\system32\...
    Plagegeister aller Art und deren Bekämpfung - 02.12.2009 (4)
  16. seltsame .tmp Dateien im Windows/Temp/ Verzeichnis zum Teil mit IP Listen
    Log-Analyse und Auswertung - 03.03.2009 (0)
  17. Trojan Horse in Windows Verzeichnis
    Plagegeister aller Art und deren Bekämpfung - 17.10.2008 (0)

Zum Thema Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm - Hallo Freunde, verwende Firefox in der aktuellsten Version (3.6.11) auf Windows XP prof. Ein Scan mit Malwarebytes' Anti-Malware hat mich auf das Verzeichnis C:\Windows\system32\xmldm aufmerksam gemacht. (Stolen Data). Mit diesem - Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm...
Archiv
Du betrachtest: Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.