Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Constructor.MSIL.Feka.a und HiddenObject.Multi.Generic (https://www.trojaner-board.de/111055-constructor-msil-feka-a-hiddenobject-multi-generic.html)

Deathwing 09.03.2012 16:39
Code:
ComboFix 12-03-09.05 - **** 09.03.2012  15:58:32.1.4 - x64
Microsoft Windows 7 Home Premium  6.1.7601.1.1252.49.1031.18.3959.2396 [GMT 1:00]
ausgeführt von:: d:\benutzer\****\Documents\ComboFix.exe
AV: Kaspersky Security Suite CBE 10 *Disabled/Updated* {56547CC9-C9B2-849D-8FEF-A496150D6A06}
FW: Kaspersky Security Suite CBE 10 *Disabled* {6E6FFDEC-83DD-85C5-A4B0-0DA3EBDE2D7D}
SP: Kaspersky Security Suite CBE 10 *Disabled/Updated* {ED359D2D-EF88-8B13-B55F-9FE46E8A20BB}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\****\AppData\Local\TempDIR
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-02-09 bis 2012-03-09  ))))))))))))))))))))))))))))))
.
.
2012-03-09 15:05 . 2012-03-09 15:05        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-03-09 14:52 . 2012-02-08 07:13        8643640        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{C4E47811-99E2-4D27-B107-756170ABED7E}\mpengine.dll
2012-03-07 15:29 . 2012-03-07 15:29        --------        d-----w-        c:\program files (x86)\ESET
2012-03-07 13:29 . 2012-03-07 13:29        --------        d-----w-        c:\users\****\AppData\Roaming\Malwarebytes
2012-03-07 13:27 . 2012-03-07 13:27        --------        d-----w-        c:\programdata\Malwarebytes
2012-03-07 13:27 . 2011-12-10 14:24        23152        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-03-04 14:52 . 2012-03-04 14:52        --------        d-----w-        c:\users\****\AppData\Local\TechSmith
2012-03-04 14:48 . 2012-03-04 14:48        --------        d-----w-        c:\windows\SysWow64\QuickTime
2012-03-04 14:48 . 2012-03-04 14:52        --------        d-----w-        c:\programdata\TechSmith
2012-03-04 14:48 . 2012-03-04 14:48        --------        d-----w-        c:\program files (x86)\QuickTime
2012-03-04 14:48 . 2012-03-04 14:48        --------        d-----w-        c:\program files (x86)\Common Files\TechSmith Shared
2012-03-03 14:30 . 2012-03-03 14:30        162664        ----a-w-        c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10140.bin
2012-02-21 08:03 . 2012-02-21 08:03        466456        ----a-w-        c:\windows\system32\wrap_oal.dll
2012-02-21 08:03 . 2012-02-21 08:03        444952        ----a-w-        c:\windows\SysWow64\wrap_oal.dll
2012-02-21 08:03 . 2012-02-21 08:03        122904        ----a-w-        c:\windows\system32\OpenAL32.dll
2012-02-21 08:03 . 2012-02-21 08:03        109080        ----a-w-        c:\windows\SysWow64\OpenAL32.dll
2012-02-21 08:03 . 2012-02-21 08:03        --------        d-----w-        c:\program files (x86)\OpenAL
2012-02-18 07:17 . 2012-01-14 04:06        3145728        ----a-w-        c:\windows\system32\win32k.sys
2012-02-18 07:17 . 2011-12-30 06:26        515584        ----a-w-        c:\windows\system32\timedate.cpl
2012-02-18 07:17 . 2011-12-30 05:27        478720        ----a-w-        c:\windows\SysWow64\timedate.cpl
2012-02-18 07:17 . 2012-01-04 10:44        509952        ----a-w-        c:\windows\system32\ntshrui.dll
2012-02-18 07:17 . 2012-01-04 08:58        442880        ----a-w-        c:\windows\SysWow64\ntshrui.dll
2012-02-18 07:17 . 2011-12-28 03:59        498688        ----a-w-        c:\windows\system32\drivers\afd.sys
2012-02-18 07:17 . 2011-12-16 08:46        634880        ----a-w-        c:\windows\system32\msvcrt.dll
2012-02-18 07:16 . 2011-12-16 07:52        690688        ----a-w-        c:\windows\SysWow64\msvcrt.dll
2012-02-17 07:51 . 2012-02-17 07:51        --------        d-----w-        c:\programdata\Installations
2012-02-17 06:49 . 2012-02-17 06:53        --------        d-----w-        c:\programdata\PopCap Games
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 08:18 . 2011-12-26 11:34        279656        ------w-        c:\windows\system32\MpSigStub.exe
2012-02-20 17:43 . 2011-12-26 13:40        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-05 13:37 . 2012-02-05 13:27        2829        ----a-w-        c:\windows\War3Unin.pif
2012-02-05 13:37 . 2012-02-05 13:27        139264        ----a-w-        c:\windows\War3Unin.exe
2012-01-28 18:58 . 2009-07-14 02:36        175616        ----a-w-        c:\windows\system32\msclmd.dll
2012-01-28 18:58 . 2009-07-14 02:36        152576        ----a-w-        c:\windows\SysWow64\msclmd.dll
2011-12-26 12:03 . 2011-12-26 12:03        91648        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe
2011-12-26 12:03 . 2011-12-26 12:03        89088        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe
2011-12-26 12:03 . 2011-12-26 12:03        86528        ----a-w-        c:\windows\SysWow64\iesysprep.dll
2011-12-26 12:03 . 2011-12-26 12:03        85504        ----a-w-        c:\windows\system32\iesetup.dll
2011-12-26 12:03 . 2011-12-26 12:03        76800        ----a-w-        c:\windows\SysWow64\SetIEInstalledDate.exe
2011-12-26 12:03 . 2011-12-26 12:03        76800        ----a-w-        c:\windows\system32\tdc.ocx
2011-12-26 12:03 . 2011-12-26 12:03        74752        ----a-w-        c:\windows\SysWow64\RegisterIEPKEYs.exe
2011-12-26 12:03 . 2011-12-26 12:03        74752        ----a-w-        c:\windows\SysWow64\iesetup.dll
2011-12-26 12:03 . 2011-12-26 12:03        63488        ----a-w-        c:\windows\SysWow64\tdc.ocx
2011-12-26 12:03 . 2011-12-26 12:03        603648        ----a-w-        c:\windows\system32\vbscript.dll
2011-12-26 12:03 . 2011-12-26 12:03        49664        ----a-w-        c:\windows\system32\imgutil.dll
2011-12-26 12:03 . 2011-12-26 12:03        48640        ----a-w-        c:\windows\SysWow64\mshtmler.dll
2011-12-26 12:03 . 2011-12-26 12:03        48640        ----a-w-        c:\windows\system32\mshtmler.dll
2011-12-26 12:03 . 2011-12-26 12:03        448512        ----a-w-        c:\windows\system32\html.iec
2011-12-26 12:03 . 2011-12-26 12:03        420864        ----a-w-        c:\windows\SysWow64\vbscript.dll
2011-12-26 12:03 . 2011-12-26 12:03        367104        ----a-w-        c:\windows\SysWow64\html.iec
2011-12-26 12:03 . 2011-12-26 12:03        35840        ----a-w-        c:\windows\SysWow64\imgutil.dll
2011-12-26 12:03 . 2011-12-26 12:03        30720        ----a-w-        c:\windows\system32\licmgr10.dll
2011-12-26 12:03 . 2011-12-26 12:03        23552        ----a-w-        c:\windows\SysWow64\licmgr10.dll
2011-12-26 12:03 . 2011-12-26 12:03        222208        ----a-w-        c:\windows\system32\msls31.dll
2011-12-26 12:03 . 2011-12-26 12:03        173056        ----a-w-        c:\windows\system32\ieUnatt.exe
2011-12-26 12:03 . 2011-12-26 12:03        165888        ----a-w-        c:\windows\system32\iexpress.exe
2011-12-26 12:03 . 2011-12-26 12:03        161792        ----a-w-        c:\windows\SysWow64\msls31.dll
2011-12-26 12:03 . 2011-12-26 12:03        160256        ----a-w-        c:\windows\system32\wextract.exe
2011-12-26 12:03 . 2011-12-26 12:03        152064        ----a-w-        c:\windows\SysWow64\wextract.exe
2011-12-26 12:03 . 2011-12-26 12:03        150528        ----a-w-        c:\windows\SysWow64\iexpress.exe
2011-12-26 12:03 . 2011-12-26 12:03        142848        ----a-w-        c:\windows\SysWow64\ieUnatt.exe
2011-12-26 12:03 . 2011-12-26 12:03        135168        ----a-w-        c:\windows\system32\IEAdvpack.dll
2011-12-26 12:03 . 2011-12-26 12:03        12288        ----a-w-        c:\windows\system32\mshta.exe
2011-12-26 12:03 . 2011-12-26 12:03        11776        ----a-w-        c:\windows\SysWow64\mshta.exe
2011-12-26 12:03 . 2011-12-26 12:03        114176        ----a-w-        c:\windows\system32\admparse.dll
2011-12-26 12:03 . 2011-12-26 12:03        111616        ----a-w-        c:\windows\system32\iesysprep.dll
2011-12-26 12:03 . 2011-12-26 12:03        110592        ----a-w-        c:\windows\SysWow64\IEAdvpack.dll
2011-12-26 12:03 . 2011-12-26 12:03        101888        ----a-w-        c:\windows\SysWow64\admparse.dll
2011-12-26 11:38 . 2010-06-24 10:33        18328        ----a-w-        c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Bing Bar"="c:\program files (x86)\MSN Toolbar\Platform\5.0.1399.0\mswinext.exe" [2010-03-04 243032]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-11-11 288088]
"NBAgent"="c:\program files (x86)\Nero\Nero 10\Nero BackItUp\NBAgent.exe" [2010-09-02 1234216]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-04-26 102400]
"ToshibaServiceStation"="c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2009-10-06 1294136]
"TWebCamera"="c:\program files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2010-02-24 2454840]
"AVP"="d:\programme\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe" [2010-05-06 361120]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe" [2010-03-03 4581280]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=d:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll d:\progra~1\KASPER~1\KASPER~1\sbhook.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages        REG_MULTI_SZ          kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [x]
R3 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe [2010-05-11 124368]
R3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-10-06 51512]
R3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2010-02-05 137560]
R3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2010-02-23 835952]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\DRIVERS\klbg.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe [2010-01-28 249200]
S2 ConfigFree Service;ConfigFree Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
S2 NAUpdate;Nero Update;c:\program files (x86)\Nero\Update\NASvc.exe [2010-05-04 503080]
S2 RichVideo64;Cyberlink RichVideo64 Service(CRVS);c:\program files\CyberLink\Shared Files\RichVideo64.exe [2010-08-19 386344]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2010-03-17 258928]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 CnxtHdmiAudService;Conexant UAA HDMI Function Driver for High Definition Audio Service;c:\windows\system32\drivers\CHDMI64.sys [x]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [x]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-02-05 709976]
"Toshiba TEMPRO"="c:\program files (x86)\Toshiba TEMPRO\TemproTray.exe" [2010-05-11 1050072]
"SmartAudio"="c:\program files\CONEXANT\SAII\SAIICpl.exe" [2009-11-19 307768]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" [2010-03-22 521272]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 24376]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2010-04-19 136136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=d:\progra~1\KASPER~1\KASPER~1\x64\sbhook64.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page =
mLocal Page =
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~4\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\pyt76feb.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-TosReelTimeMonitor - c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
HKLM-Run-TosNC - c:\program files (x86)\Toshiba\BulletinBoard\TosNcCore.exe
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
HKLM-Run-HSON - c:\program files (x86)\TOSHIBA\TBS\HSON.exe
HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe
HKLM-Run-00TCrdMain - c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe
HKLM-Run-SmartFaceVWatcher - c:\program files (x86)\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
HKLM-Run-Teco - c:\program files (x86)\TOSHIBA\TECO\Teco.exe
HKLM-Run-TosWaitSrv - c:\program files (x86)\TOSHIBA\TPHM\TosWaitSrv.exe
.
.
"ImagePath"="\"c:\program files\CyberLink\Shared Files\RichVideo64.exe\"\00Z
[\]^_ô\00\00ô\00\00\00\00HIJKLMNO\00\00\00\00\00\00\00\00\03\00\00\00|}~ô\00\00ô\00\00\00\00Y\00\00\00\00\00\00\00\00‘’“"
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
c:\program files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-09  16:16:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-09 15:16
.
Vor Suchlauf: 8 Verzeichnis(se), 206.181.408.768 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 205.814.263.808 Bytes frei
.
- - End Of File - - 43F18F4649EDE2A04FF680183B68CC32

cosinus 10.03.2012 16:09
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!
  • Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Deathwing 10.03.2012 17:21
Code:
aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-10 17:02:38
-----------------------------
17:02:38.746    OS Version: Windows x64 6.1.7601 Service Pack 1
17:02:38.746    Number of processors: 4 586 0x2505
17:02:38.746    ComputerName: MEINLAPTOP  UserName: ****
17:02:39.697    Initialize success
17:04:11.308    AVAST engine defs: 12031001
17:04:50.838    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
17:04:50.854    Disk 0 Vendor: ST950032 0002 Size: 476940MB BusType: 3
17:04:50.854    Disk 0 MBR read successfully
17:04:50.854    Disk 0 MBR scan
17:04:50.869    Disk 0 Windows 7 default MBR code
17:04:50.885    Disk 0 Partition 1 80 (A) 27 Hidden NTFS WinRE NTFS          400 MB offset 2048
17:04:50.885    Disk 0 Partition 2 00    07    HPFS/NTFS NTFS      238311 MB offset 821248
17:04:50.932    Disk 0 Partition 3 00    07    HPFS/NTFS NTFS      238227 MB offset 488882176
17:04:50.979    Disk 0 scanning C:\Windows\system32\drivers
17:05:02.460    Service scanning
17:05:25.174    Modules scanning
17:05:25.174    Disk 0 trace - called modules:
17:05:25.283    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys spmn.sys hal.dll
17:05:25.314    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004ce9060]
17:05:25.314    3 CLASSPNP.SYS[fffff88001a1743f] -> nt!IofCallDriver -> [0xfffffa8004a8e790]
17:05:25.330    5 ACPI.sys[fffff880011ae7a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004a97050]
17:05:26.297    AVAST engine scan C:\Windows
17:05:28.793    AVAST engine scan C:\Windows\system32
17:08:46.695    AVAST engine scan C:\Windows\system32\drivers
17:09:00.532    AVAST engine scan C:\Users\****
17:09:56.989    AVAST engine scan C:\ProgramData
17:14:33.530    Scan finished successfully
17:19:52.177    Disk 0 MBR has been saved successfully to "D:\Benutzer\****\Desktop\MBR.dat"
17:19:52.192    The log file has been saved successfully to "D:\Benutzer\****\Desktop\aswMBR.txt"

Deathwing 12.03.2012 09:47
Ich denke ich werde auf diesem Laptop Ubuntu oder ähnliches installieren oder anders gesagt müsste ich den Rechner morgen wieder volleinsatz bereit haben und würde den daher gerne neu aufsetzten. Ich danke dir bis hier hin für deine Hilfe, und hoffe das Du mein anderes Problem lösen kanns. Ich hab ja noch meinen anderen offenen Beitrag mit meinem Hauptrechner und bei dem ist es mir wirklich wichtig das der sauber genug ist für ein sicheres BackUp :)

cosinus 12.03.2012 15:26
Wir sind doch hier fast fertig :confused:

Willst du diesen Rechner jetzt plätten und nur noch Ubuntu drauf haben?

Deathwing 12.03.2012 16:17
Hm ne also wenn wir hier echt schon fast durch sind dann machen wir das auch noch zu ende ^^ Wäre sonst auch irgendwie blöd wenn deine ganze arbeit umsonst wäre. Und eigentlich hast du Recht, ich kann mir ja auch Ubuntu auf ne dritte Partition installieren. Das hatte ich so zuerst gar nicht in erwägung gezogen, bin heute bisn müde :crazy:
Dazu hätte ich gleich noch eine Frage: Wie wäre es wenn ich dann tatsächlich Windows und Ubuntu auf der Festplatte habe und mir zb. einen Wurm einfange. Kann der Wurm es von einem ins andere OS schaffen? Mal abegesehen davon das der in Ubuntu wohl nicht so wirklich was anrichten kann wenn es ein "Windows Wurm" ist.

cosinus 12.03.2012 16:27
Zitat:
Ubuntu auf ne dritte Partition installieren.
Du brauchst für Linux min. zwei Partitionen. Eine Rootpartition (für das Wurzel-Dateisystem entspricht in etwa der Systempartition C unter Windows ) und eine Partition für den Auslagerungsspeicher (SWAP-Partition, unter Linux braucht man dafür eine eigene Partititon, Windows lagert alles in eine Datei "pagefile.sys" aus )
Es empfiehlt sich aber unter Ubuntu/Linux auch noch eine Partition für /home einzurichten. In /home landen alle Benutzerprofile außer des Superusers root. /home enspricht in etwa dem Ordners C:\Users (Win7/Vista) bzw. C:\Dokumente und Einstellungen (Windows2000/XP)

Zitat:
Kann der Wurm es von einem ins andere OS schaffen? Mal abegesehen davon das der in Ubuntu wohl nicht so wirklich was anrichten kann wenn es ein "Windows Wurm" ist.
Nein. Windows-Malware ist unter Linux nicht lauffähig.


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Deathwing 12.03.2012 17:52
Ich hatte eigentlich auch vor, genauso wie für mein Windows, 2 Partitionen zu nehmen. Aber das ist gut zu wissen das 3 besser wären, dann mache ich das so^^ Wäre mein erstes mal das ich das selbst aufsetze. Hatte bisher fast nur Windows benutzt. Logs folgen heute noch

Deathwing 12.03.2012 19:48
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.12.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
**** :: MEINLAPTOP [Administrator]

12.03.2012 18:09:43
mbam-log-2012-03-12 (18-09-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 332961
Laufzeit: 42 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/12/2012 at 07:44 PM

Application Version : 5.0.1146

Core Rules Database Version : 8325
Trace Rules Database Version: 6137

Scan type      : Complete Scan
Total Scan Time : 00:47:28

Operating System Information
Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned      : 755
Memory threats detected  : 0
Registry items scanned    : 65179
Registry threats detected : 4
File items scanned        : 46662
File threats detected    : 8

Browser Hijacker.Deskbar
        (x86) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
        (x86) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\ProxyStubClsid32
        (x86) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib
        (x86) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib#Version

Adware.Tracking Cookie
        C:\Users\****\AppData\Roaming\Microsoft\Windows\Cookies\****@msnportal.112.2o7[1].txt [ /msnportal.112.2o7 ]
        C:\Users\****\AppData\Roaming\Microsoft\Windows\Cookies\UHNG5TUY.txt [ /2o7.net ]
        C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\Low\DL8OCTR3.txt [ Cookie:****@webmasterplan.com/ ]
        C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\Low\DPYXOAMU.txt [ Cookie:****@tradedoubler.com/ ]
        C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\Low\SXQ2GTSA.txt [ Cookie:****@c.atdmt.com/ ]
        C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\Low\T6T5J2HY.txt [ Cookie:****@traffictrack.de/ ]
        C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\Low\KAEWIHYH.txt [ Cookie:****@msnportal.112.2o7.net/ ]
        C:\USERS\****\Cookies\****@msnportal.112.2o7[1].txt [ Cookie:****@msnportal.112.2o7.net/ ]
Soll ich die gefundenen Sachen mit SAS entfernen?

cosinus 12.03.2012 19:56
Ja kann weg, sind aber nur Überreste und Cookies
Rechner soweit wieder ok?

Deathwing 12.03.2012 20:19
Denke ja, wurde ja sonst nichts gefunden. Ich könnte vielleicht noch einen Vollscan mit Kaspersky machen. Aber sonst ist wohl wirklich wieder alles ok, danke :)

Nur bei meinem anderen Rechner (im anderen Beitrag) hab ich noch Probleme mit ComboFix, aber das hast du vlt schon gelesen ;)

cosinus 12.03.2012 20:27
Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Deathwing 14.03.2012 20:45
Nochmals danke^^ Ich werd den Rest wohl am Wochendende weiter durch arbeiten, komm gerade nicht so dazu. Also nicht wundern wenns ein paar tage bisn ruhiger wird meinerseits, ich hab den Beitrag hier nicht vergessen ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:17 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22