commerzbank Trojan.Generic.

mawi01 · 11.01.2011, 17:01

Hallo Arne,

hier das Log von cofi
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-10.08 - Marko Will 11.01.2011  16:06:09.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1445 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Marko Will\Desktop\cofi.exe
AV: eScan Anti-Virus (AV) Edition für Windows *Disabled/Updated* {E25EE26A-7512-411E-BAF6-D9AFA504A475}
FW: eScan Anti-Virus (AV) Edition für Windows *Disabled* {E25EE26A-7512-411E-BAF6-D9AFA504A475}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-11 bis 2011-01-11  ))))))))))))))))))))))))))))))
.

2011-01-11 14:47 . 2011-01-11 14:47	--------	d-----w-	c:\programme\CCleaner
2011-01-10 21:33 . 2011-01-10 21:33	--------	d-----w-	C:\archive_db
2011-01-10 21:31 . 2011-01-10 21:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\backup
2011-01-10 21:31 . 2011-01-10 21:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\explauncher
2011-01-10 21:31 . 2011-01-10 21:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\launcher
2011-01-10 21:24 . 2010-11-10 09:35	56208	----a-w-	c:\windows\system32\drivers\hotcore3.sys
2011-01-07 14:06 . 2011-01-07 14:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TomTom
2011-01-07 14:05 . 2011-01-07 14:05	--------	d-----w-	c:\dokumente und einstellungen\Marko Will\Lokale Einstellungen\Anwendungsdaten\TomTom
2011-01-07 14:05 . 2011-01-07 14:05	--------	d-----w-	c:\dokumente und einstellungen\Marko Will\Anwendungsdaten\TomTom
2011-01-07 14:05 . 2011-01-07 14:05	--------	d-----w-	c:\programme\TomTom International B.V
2011-01-07 14:04 . 2011-01-07 14:05	--------	d-----w-	c:\programme\TomTom HOME 2
2011-01-07 14:04 . 2011-01-07 14:04	--------	d-----w-	c:\programme\TomTom DesktopSuite
2011-01-03 08:44 . 2011-01-03 08:44	--------	d---a-w-	c:\windows\rundll16.exe
2011-01-03 08:44 . 2011-01-03 08:44	--------	d---a-w-	c:\windows\logo1_.exe
2010-12-28 17:47 . 2010-12-28 17:47	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}
2010-12-28 17:36 . 2010-12-28 17:56	--------	d-----w-	c:\dokumente und einstellungen\Marko Will\Anwendungsdaten\Uniblue
2010-12-28 17:35 . 2010-12-28 17:55	--------	d-----w-	c:\programme\Uniblue
2010-12-28 17:35 . 2010-12-28 17:35	--------	d-----w-	c:\dokumente und einstellungen\Marko Will\Lokale Einstellungen\Anwendungsdaten\PackageAware
2010-12-28 17:22 . 2010-12-28 17:22	--------	d-----w-	c:\dokumente und einstellungen\Marko Will\Anwendungsdaten\Malwarebytes
2010-12-28 17:22 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-28 17:22 . 2010-12-28 17:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-28 17:22 . 2010-12-28 17:22	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-28 17:22 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-20 14:33 . 2010-12-20 14:55	--------	d-----w-	c:\programme\Windows Live Safety Center
2010-12-20 10:32 . 2010-11-02 15:17	40960	------w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-20 10:32 . 2010-10-11 14:59	45568	------w-	c:\windows\system32\dllcache\wab.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-08 12:12 . 2010-02-03 20:13	83360	----a-w-	c:\windows\system32\LMIRfsClientNP.dll
2010-12-08 12:11 . 2010-02-03 20:13	53632	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\LMIproc.dll
2010-12-08 12:11 . 2010-02-03 20:13	29568	----a-w-	c:\windows\system32\LMIport.dll
2010-12-08 12:11 . 2010-02-03 20:13	87424	----a-w-	c:\windows\system32\LMIinit.dll
2010-11-18 18:12 . 2001-08-18 11:53	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-10 09:35 . 2010-11-10 09:35	249936	----a-w-	c:\windows\system32\prgiso.dll
2010-11-10 09:35 . 2010-11-10 09:35	395464	----a-w-	c:\windows\system32\drivers\Uim_IM.sys
2010-11-10 09:35 . 2010-11-10 09:35	37080	----a-w-	c:\windows\system32\drivers\UimBus.sys
2010-11-10 09:35 . 2010-11-10 09:35	262040	----a-w-	c:\windows\system32\drivers\UimFIO.sys
2010-11-06 00:21 . 2002-08-29 10:43	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2002-08-29 10:43	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-06 00:21 . 2002-08-29 10:43	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-03 12:25 . 2007-05-31 16:12	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2001-08-17 20:55	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2001-08-17 21:55	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2002-08-29 10:23	1853440	----a-w-	c:\windows\system32\win32k.sys
2010-10-22 07:32 . 2007-06-01 19:35	141832	----a-w-	c:\windows\killproc.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Xmllink"="c:\dokumente und einstellungen\Marko Will\Anwendungsdaten\Comhelp\freereg.exe" [2010-12-20 0]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-30 39408]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogMeIn GUI"="c:\programme\LogMeIn\x86\LogMeInSystray.exe" [2008-08-11 63048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-14 110592]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\eSLogOn]
2009-07-31 16:40	654856	----a-w-	c:\windows\system32\eslogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2010-12-08 12:11	87424	----a-w-	c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1433196130-1682586014-2591342705-1006\Scripts\Logon\0\0]
"Script"=\\Mawi-server\User\login.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1433196130-1682586014-2591342705-1007\Scripts\Logon\0\0]
"Script"=\\Mawi-server\User\login.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1433196130-1682586014-2591342705-1008\Scripts\Logon\0\0]
"Script"=\\Mawi-server\User\login.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1433196130-1682586014-2591342705-1011\Scripts\Logon\0\0]
"Script"=\\Mawi-server\User\login.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1433196130-1682586014-2591342705-500\Scripts\Logon\0\0]
"Script"=\\Mawi-server\User\login.bat

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications]
"<NO NAME>"= 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"=
"c:\\PROGRA~1\\eScan\\TRAYICOS.EXE"=
"c:\\WINDOWS\\system32\\lmabcoms.exe"=
"c:\\Programme\\Lexmark\\Scanback\\scanwiz.exe"=
"c:\\PROGRA~1\\eScan\\LICENSE.EXE"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Xpedi\\SMARQ\\SMARQagt.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [10.01.2011 22:24 56208]
R1 bizVSerial;Franson VSerial;c:\windows\system32\drivers\bizVSerialNT.sys [03.05.2010 09:32 14949]
R2 cjpcsc;cyberJack PC/SC COM Service ;c:\windows\system32\cjpcsc.exe [03.05.2010 09:32 654640]
R2 EconService;eConServ;c:\progra~1\escan\EconSer.exe [27.07.2009 16:31 372744]
R2 eScan-trayicos;eScan Server-Updater;c:\progra~1\eScan\TRAYSSER.EXE [01.06.2007 20:34 248328]
R2 eScan Monitor Service;eScan Monitor Service;c:\dokume~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe [27.07.2009 16:32 797760]
R2 LMIGuardianSvc;LMIGuardianSvc;c:\programme\LogMeIn\x86\LMIGuardianSvc.exe [01.10.2010 09:35 374152]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\programme\LogMeIn\x86\rainfo.sys [11.08.2008 12:41 12856]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 12:31 92008]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;c:\windows\system32\drivers\cjusb.sys [15.09.2007 18:11 23040]
R3 econceal;MicroWorld Technologies Network Service;c:\windows\system32\drivers\econceal.sys [28.07.2009 08:10 26632]
R3 ProcObsrves;ProcObsrves;c:\progra~1\eScan\ProcObsrves.sys [27.07.2009 16:31 11264]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.12.2010 11:00 136176]
S3 CMISTOR;CMIUCR.SYS CM320/CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [05.01.2007 16:21 93056]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [29.06.2005 12:31 215040]
S3 SMARQagt;SMARQagent;c:\programme\Xpedi\SMARQ\SMARQagt.exe [10.06.2008 12:47 1072024]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HOTCORE3
*NewlyCreated* - SWPRV
*NewlyCreated* - VSS

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners

2011-01-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-30 10:00]

2011-01-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-12-30 10:00]

2011-01-11 c:\windows\Tasks\RegistryBooster.job
- c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2010-12-27 17:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = about:blank
mSearch Bar = hxxp://www.google.com/ie
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: %SystemRoot%\system32\mwtsp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-01-11 16:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\windows\system32\eSLogOn.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
c:\windows\system32\igfxsrvc.dll
c:\windows\system32\hccutils.DLL
c:\windows\System32\gpkcsp.dll
c:\windows\System32\gpkrsrc.dll

- - - - - - - > 'winlogon.exe'(29248)
c:\windows\system32\eSLogOn.dll
c:\windows\system32\LMIinit.dll

- - - - - - - > 'lsass.exe'(944)
c:\windows\system32\mwtsp.dll

- - - - - - - > 'explorer.exe'(33680)
c:\windows\system32\LMIRfsClientNP.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2011-01-11  16:57:44
ComboFix-quarantined-files.txt  2011-01-11 15:57
ComboFix2.txt  2011-01-11 12:32

Vor Suchlauf: 16 Verzeichnis(se), 13.061.402.624 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 13.046.239.232 Bytes frei

- - End Of File - - DEEA05BBDEEEE426632C63CA593C914A

--- --- ---

commerzbank Trojan.Generic.

Log-Analyse und Auswertung: commerzbank Trojan.Generic.

commerzbank Trojan.Generic.

Ähnliche Themen: commerzbank Trojan.Generic.