Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   100 Tan Trojaner (Spyeye) (https://www.trojaner-board.de/104307-100-tan-trojaner-spyeye.html)

Lazar81 19.10.2011 17:26
100 Tan Trojaner (Spyeye)
 
Hallo,
wie nach meiner Google-Recherche feststellen musste, habe ich mir anscheinend diesen 100-Tan-Trojaner eingefangen.

WAS PASSIERTE
Ich erhielt,nach dem aufrufen meiner Online-Banking-Seite, und nachdem ich meine Zugangsdaten eingab, die Aufforderung meine Tan's anzugeben. Habe mein PC sofort heruntergefahren, und vom Netz getrennt. Dann mit 2. Rechner schnell Passwörter geändert. Alles gut soweit.

BISHER habe ich nur Antivir durchlaufen lassen. Spybot konnte ich gar nicht durchlaufen lassen da ich dem infizierten Rechner momentan nicht am Netz habe.

RECHNER PLATT MACHEN KANN/WILL ICH NICHT
Bin noch 7 monate im Ausland, und hoffe das ich den Trojaner mit eurer Hilfe entfernen kann.

Habe dazu Eure Anweisungen gelesen, und die entsprechenden Log files angehängt.

(Hinweis zu den Log files: Habe Otl 2 mal ausgeführt und beim 2. mal keine Extras.txt erhalten (soweit ich weiss normal) daher habe ich zunächst die 9 Tage ältere "Extras.txt" angehängt.)


Hoffe ihr könnte mir helfen dieses Problem zu lösen.

Mfg Lazar81

markusg 19.10.2011 17:37
hi,
pc wieder ans netz, bitte.
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Lazar81 19.10.2011 20:00
Ok, danke
hier nun die Log.txt:


Combofix Logfile:
Code:
ComboFix 11-10-19.04 - Administrator 19.10.2011  15:32:33.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.425 [GMT -3:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\_Setup.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\20110521190500.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\_Default.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\AxInterop.ImageEnXLibrary_1.9000.0.0_L_75236aeec3d51fd0_MSIL.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\CFToolkit_4.1.0.0_a87e673e9ecb6e8e_MSIL.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\DROPPED_20100101190241.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\DROPPED_20100101190244.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\DROPPED_20100101190312.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\FreeOCR_2.1.0.8_L_075a6c69191ec1db_x86.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\Interop.ImageLibrary_1.9000.0.0_L_8cdfa8b955dbb1c7_MSIL.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Cache\Interop.PDFAX0717_7.17.0.0_L_3d5fa783dbb69c0f_MSIL.tiz
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Setup.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Setup.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{108A39BF-4ED1-4293-B11A-06BD521FB8F7}\Setup.ico
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml7B.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml7C.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml7D.tmp
C:\Recycle.Bin
c:\recycle.bin\458659FA69D588B
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system\Pncrt.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-09-19 bis 2011-10-19  ))))))))))))))))))))))))))))))
.
.
2071-07-25 13:13 . 2006-11-22 00:48        203576        ------w-        c:\programme\Microsoft Games\Age of Empires III\autopatcher2.exe
2011-10-19 18:40 . 2011-10-19 18:40        --------        d-----w-        c:\windows\system32\wbem\snmp
2011-10-19 18:40 . 2011-10-19 18:40        --------        d-----w-        c:\windows\system32\xircom
2011-10-19 18:40 . 2011-10-19 18:40        --------        d-----w-        c:\programme\microsoft frontpage
2011-10-19 13:35 . 2011-10-19 16:57        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2011-10-19 13:35 . 2011-10-19 13:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2011-10-19 13:06 . 2011-10-19 16:48        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2011-10-19 13:06 . 2011-10-19 13:06        --------        d-----w-        c:\programme\Security Task Manager
2011-10-18 16:54 . 2011-10-18 16:54        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Zattoo
2011-10-18 16:53 . 2011-10-18 16:54        --------        d-----w-        c:\programme\Zattoo4
2011-10-18 13:22 . 2011-10-18 13:23        --------        d-----w-        c:\programme\Elaborate Bytes
2011-10-18 13:19 . 2011-10-18 13:19        --------        d-----w-        c:\programme\AmoK DVD Shrinker
2011-10-13 17:53 . 2011-07-31 15:44        --------        d-----w-        c:\programme\UFO Aftermath
2011-10-12 19:47 . 2011-10-12 19:47        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2011-10-12 19:24 . 2011-09-22 17:39        --------        d-----w-        c:\programme\CENEGA
2011-10-12 19:21 . 2011-10-19 13:16        --------        d-----w-        c:\windows\system32\NtmsData
2011-10-12 19:19 . 2011-10-12 19:19        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2011-10-12 19:18 . 2011-10-12 19:20        66616        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2011-10-12 19:18 . 2011-10-12 19:20        138192        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-10-12 19:18 . 2009-09-29 16:12        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys
2011-10-12 19:18 . 2009-09-29 16:12        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys
2011-10-12 19:18 . 2011-10-12 19:18        --------        d-----w-        c:\programme\Avira
2011-10-12 19:18 . 2011-10-12 19:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-10-08 12:04 . 2011-10-08 12:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Nokia
2011-10-08 12:00 . 2011-10-08 12:03        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Deployment
2011-10-07 11:47 . 2002-03-19 08:29        14165        ------w-        c:\windows\system32\drivers\Pclepci.sys
2011-10-07 11:44 . 2004-01-23 15:44        61440        ----a-w-        c:\windows\system32\pclepim1.dll
2011-10-07 11:44 . 2004-01-23 15:44        49152        ----a-w-        c:\windows\system32\PCLEGetGuid.dll
2011-10-07 11:42 . 2002-12-05 12:10        155648        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iuser.dll
2011-10-07 11:42 . 2002-12-02 13:22        5632        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe
2011-10-07 11:42 . 2002-12-02 11:33        57344        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll
2011-10-07 11:42 . 2002-12-02 11:33        237568        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iscript.dll
2011-10-07 11:42 . 2002-12-05 12:12        692224        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iKernel.dll
2011-10-07 11:42 . 2011-10-07 11:42        282756        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\setup.dll
2011-10-07 11:42 . 2011-10-07 11:42        163972        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iGdi.dll
2011-10-04 09:10 . 2011-10-04 09:10        --------        d-----w-        c:\dokumente und einstellungen\Ralf\Anwendungsdaten\DDMSettings
2011-10-04 09:00 . 2011-10-06 22:56        --------        d-----w-        c:\dokumente und einstellungen\Ralf\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
2011-10-03 21:19 . 2009-09-27 07:39        369152        ----a-w-        c:\windows\system32\avisynth.dll
2011-10-03 21:19 . 2005-07-14 10:31        32256        ----a-w-        c:\windows\system32\AVSredirect.dll
2011-10-03 21:19 . 2004-02-22 08:11        719872        ----a-w-        c:\windows\system32\devil.dll
2011-10-03 21:19 . 2004-01-24 22:00        70656        ----a-w-        c:\windows\system32\i420vfw.dll
2011-10-03 21:19 . 2011-10-03 21:19        --------        d-----w-        c:\programme\AviSynth 2.5
2011-10-03 21:14 . 2011-10-03 21:15        --------        d-----w-        c:\programme\eRightSoft
2011-09-27 17:07 . 2011-09-27 17:07        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DDMSettings
2011-09-27 16:59 . 2011-10-04 17:52        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2011-09-27 16:59 . 2010-07-12 18:36        9200        ------w-        c:\windows\system32\drivers\cdralw2k.sys
2011-09-27 16:59 . 2010-07-12 18:36        9072        ------w-        c:\windows\system32\drivers\cdr4_xp.sys
2011-09-27 16:59 . 2010-07-12 18:36        133616        ------w-        c:\windows\system32\pxafs.dll
2011-09-27 16:59 . 2010-07-12 18:36        126448        ------w-        c:\windows\system32\pxinsi64.exe
2011-09-27 16:59 . 2010-07-12 18:36        123888        ------w-        c:\windows\system32\pxcpyi64.exe
2011-09-27 16:58 . 2011-09-27 16:59        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared
2011-09-27 16:40 . 2011-09-27 16:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2011-09-21 08:25 . 2011-09-21 08:25        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ChessBase
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-08 19:08 . 2011-06-29 09:34        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-22 20:51 . 2011-07-22 20:51        94208        ----a-w-        c:\windows\system32\dpl100.dll
2011-07-08 07:31 . 2011-10-12 19:47        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 10:06        163328        --sha-r-        c:\windows\system32\flvDX.dll
2007-02-21 11:47        31232        --sha-r-        c:\windows\system32\msfDX.dll
2008-03-16 13:30        216064        --sha-r-        c:\windows\system32\nbDX.dll
2010-01-06 22:00        107520        --sha-r-        c:\windows\system32\TAKDSDecoder.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-06-24 . E88631E21A9CACA06104802F9E915115 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-09-01 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-09-01 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-09-01 137752]
"PTHOSTTR"="c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-12-31 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-06-24 128512]
"IE8"="advpack.dll" [2009-06-24 128512]
.
c:\dokumente und einstellungen\Ralf\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2007-02-06 23:30        74240        ----a-r-        c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin300.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin300.exe.lnk
backup=c:\windows\pss\TrayMin300.exe.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
2004-06-09 19:37        40960        ----a-w-        c:\windows\VM_STI.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16        357696        ----a-w-        c:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
2010-06-18 00:56        370176        ----a-w-        c:\programme\FreePDF_XP\fpassist.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2011-08-04 12:34        1955208        ----a-w-        c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAFWTaskbarApp]
2004-09-27 14:44        151552        ----a-w-        c:\windows\system32\mafwTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 03:52        1695232        ------w-        c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-12-03 19:46        14944136        ----a-r-        c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SparVoip]
2011-07-15 04:05        13836584        ----a-w-        c:\programme\SparVoip.de\SparVoip\sparvoip.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-09-02 17:09        149280        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Programme\\AOE\\age2_x1\\age2_x1.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\SparVoip.de\\SparVoip\\SparVoip.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2011\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\LogMeIn Hamachi\\hamachi-2-ui.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 pe3aj8qb;UFO AfterMath Environment Driver (pe3aj8qb);c:\windows\system32\drivers\pe3aj8qb.sys [29.03.2007 09:43 64896]
R0 pf2aj8qb;UFO AfterMath File System Driver (pf2aj8qb);c:\windows\system32\drivers\pf2aj8qb.sys [29.03.2007 09:42 83840]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.10.2011 16:18 136360]
R2 ASBroker;Anmeldesitzungsbroker;c:\windows\System32\svchost.exe -k Cognizance [31.12.2008 20:00 14336]
R2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe -k Cognizance [31.12.2008 20:00 14336]
R2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [04.08.2011 09:34 1361288]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [14.09.2006 11:55 88192]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [24.07.2007 03:21 41216]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2011 16:08 136176]
S2 pr2aj8qb;UFO AfterMath Drivers Auto Removal (pr2aj8qb);c:\windows\system32\pr2aj8qb.exe svc --> c:\windows\system32\pr2aj8qb.exe svc [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2011 16:08 136176]
S3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [03.10.2010 17:26 47360]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2011\RpcAgentSrv.exe [31.07.2011 13:01 93848]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [27.09.2010 10:30 16896]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [31.12.2008 20:00 14336]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [01.09.2010 17:36 691696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance        REG_MULTI_SZ          ASBroker ASChannel
WINRM        REG_MULTI_SZ          WINRM
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-08 19:08]
.
2011-10-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-08 19:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe"
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\exyw12iq.default\
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-DivXUpdate - c:\programme\DivX\DivX Update\DivXUpdate.exe
AddRemove-Port Royale_is1 - d:\programme\unins000.exe
AddRemove-{108A39BF-4ED1-4293-B11A-06BD521FB8F7} - c:\dokume~1\ALLUSE~1\ANWEND~1\TARMAI~1\{108A3~1\Setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-10-19 15:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1715567821-884357618-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d3,1f,0c,fa,dd,93,bd,41,81,cc,d6,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d3,1f,0c,fa,dd,93,bd,41,81,cc,d6,\
.
[HKEY_USERS\S-1-5-21-1715567821-884357618-1417001333-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c0,17,44,93,ce,d8,ca,d1,17,ab,4a,46,04,ed,5d,62,fe,eb,b5,62,1c,87,9b,
  33,a6,1b,6b,7c,00,91,47,35,3d,e1,da,7e,5e,e0,22,2e,fa,23,b5,6a,4e,1a,32,82,\
"??"=hex:5d,77,cb,db,b2,83,c2,e4,0b,5d,c2,75,ea,4f,82,b4
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(988)
c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\programme\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\programme\Hewlett-Packard\IAM\bin\HPBrand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\HPBrand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\ItMsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\ASChnl.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItDAC.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItReports.DLL
c:\programme\Hewlett-Packard\IAM\Bin\BioAuth.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\BioAuth.dll
c:\programme\Hewlett-Packard\IAM\Bin\ASBIoAT.dll
c:\programme\Hewlett-Packard\IAM\Bin\ittal.dll
c:\programme\Hewlett-Packard\IAM\Bin\STEngine.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItVCClient.dll
c:\programme\Hewlett-Packard\IAM\Bin\AuthWiz.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\AuthWiz.dll
c:\programme\Hewlett-Packard\IAM\Bin\ItVCard.dll
c:\windows\system32\xenroll.dll
c:\programme\Hewlett-Packard\IAM\Bin\NetAdmin.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\NetAdmin.dll
.
- - - - - - - > 'explorer.exe'(1944)
c:\windows\system32\APSHook.dll
c:\programme\Hewlett-Packard\IAM\bin\ItClient.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Hewlett-Packard\IAM\bin\asghost.exe
c:\windows\system32\agrsmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Synaptics\SynTP\SynTPEnh.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-19  15:47:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-10-19 18:47
.
Vor Suchlauf: 4.593.614.848 Bytes frei
Nach Suchlauf: 5.050.400.768 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut
.
- - End Of File - - 729E21D3AFCC22F334D9979E13B5D555
--- --- ---

markusg 19.10.2011 20:19
ich möchte aber drauf hinweisen, dass ich persönlich von diesem pc kein onlinebanking machen würde bis er neu aufgesetzt ist, ne 100 %ige sicherheit bekommst du einfach nicht mehr ohne format c:
deinstaliere mal spybot, starte neu, das programm kann die reinigung behindern.

lade den CCleaner standard:
CCleaner - Standard
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Lazar81 20.10.2011 00:11
Also hier die Programmliste vom CCleaner. Muss gestehen das ich einige Programme die vielleicht zum System gehören nicht unbedngt kenne - bzw als unbekannt angegeben habe.

Hoffe so gehts trotzdem

Lazar81 20.10.2011 00:18
hier die prog liste. Wenn ich unsicher war habe ich unbekannt geschrieben.

hoffe so gehts


Sorry kam jetzt 2x, mein Post wurde erst nicht angezeigt.

markusg 20.10.2011 12:21
sorry, befor ich mir die liste ansehe:
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Lazar81 21.10.2011 13:56
Ok habe alles so gemacht.

markusg 21.10.2011 14:03
gehe ich recht in der anname das dein windows illegal erworben ist

Lazar81 21.10.2011 15:18
Hier die MWbytes Log datei

markusg 21.10.2011 15:34
ist das die antwort auf meine frage?

Lazar81 21.10.2011 15:38
Nein, mein Windows ist legal. Jedefalls habe ich nur auf diesem PC diese XP Lizenz am laufen, und sie ist 100% legal.

Aber ich muss dazu sagen, dass mir ein Freund den PC komlplett eingerichtet hat... mit nem XP von "keine Ahnung woher". Ich sollte meinen XP Code ändern, und das habe ich auch gemacht. Ich habe mich dabei nicht toll gefühlt, aber dadurch dass mein Code angenommen wurde, war es für mich ok.

markusg 21.10.2011 18:49
naja, diese version sieht mir nicht so legal aus, du hast hier nen tool was die windows gültigkeits abfrage blockiert.
ich kann dir daher leider nicht weiter helfen :-(
du solltest dir also deine windows version wieder drauf spielen, beim einrichten helfen wir dir hier auch.

Lazar81 22.10.2011 02:38
:confused: Na klasse, das ist natürlich meine Verantwortung... aber hoffe es leuchtet ein dass ich das nicht ins Forum gestellt hätte, wenn ich das gewusst hätte.

Nur kurz noch... Der Pc war ein Geschenk, da mein Laptop kurz vor meinem vorletzten Abflug nach Südamerika abschmierte. Ich habe 1 Tag vor Abflug bekommen... und da war auch XP schon drauf. Aber ich habe dann meinen Registrierungsschlussen eingegeben, und war ganz happy dass das klappte.
Dachte damit ist das meine Version (Jetzt ist mir auch klar warum die Msoft updates nicht funktionieren... das habe ich diverse male erfolglos versucht.)

Kann ich denn mein XP einfach drüber spielen?
Doof ist auch, das ich (glaube ich) auf meiner Xp cd nicht mal SP1 mit drauf habe, und runterladen ist echt total nervig/unmöglich mit meinem langsamen Internet hier.

Beschämte Grüße

Lazar81 22.10.2011 02:52
... habe gerade nochmal nachgeschaut... es gibt doch sogar extra von Microsoft ein Key aktualisierungstool. Das ist also in deren Sinne.

Kann ich nicht dieses blockierungstool entfernen... und danach meine XP version von Microsoft prüfen lassen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:55 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131