Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA Trojaner (https://www.trojaner-board.de/111810-bka-trojaner.html)

Icebomber 18.03.2012 23:00
BKA Trojaner
 
Moin. Also ich habe jetzt auch diesen dämlichen BKA Trojaner. Hatte schon echt lange nichts mehr mit Viren und Trojanern am Hut. Ich habe jetzt 11 Dateien/Keys bei Malwarebyte in Quarantäne. Bei Antivir allerdings kam eben auch ne Meldung (weiß jetzt nicht ob es eine der Dateien war, die bei MB in der Quarantäne ist). Also bei Antivir auf entfernen gedrückt -> Bluescreen. Ich mache jetzt gerade noch ein Scan mit AVG. Hier ist schon mal der Log von Malwarebyte:

Zitat:
Durchsuchte Objekte: 235363
Laufzeit: 5 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 8
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\grplauncher0.4(1).exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\grplauncher0.4.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0.37131379314737045h7i.exe (Spyware.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0.7419156192184085h7i.exe (Spyware.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0.9350302694745021h7i.exe (Spyware.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\appconf32.exe (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Vielen Dank schon mal.

Swisstreasure 18.03.2012 23:25
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Icebomber 19.03.2012 00:23
Hi. Also AVG hat übrigens diesen Trojan.Bank gefunden und in Quarantäne geschoben. Hab AVG jetzt deinstalliert.

Aber wieder zum Essentiellem

Combofix Logfile:
Code:
ComboFix 12-03-17.01 - Administrator 19.03.2012  0:05.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Eigene Dateien\Downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\4.ddi
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\5.ddi
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\FILE4BE0D23B06E2D.ddr
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\FILE4D41249794368.plong.ddr
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\settings.ddi
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(3).ddp
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(4).ddp
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(5).ddp
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(6).ddp
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(7).ddp
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\(8).ddp
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\FILE4BE0D23B06E2D
c:\dokumente und einstellungen\Julian Arlinghaus\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\FILE4D41249794368.plong.ddp
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\Uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.chm
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.url
c:\windows\$NtUninstallKB24691$
c:\windows\$NtUninstallKB24691$\2332736963
c:\windows\$NtUninstallKB24691$\644105751\@
c:\windows\$NtUninstallKB24691$\644105751\bckfg.tmp
c:\windows\$NtUninstallKB24691$\644105751\cfg.ini
c:\windows\$NtUninstallKB24691$\644105751\Desktop.ini
c:\windows\$NtUninstallKB24691$\644105751\kwrd.dll
c:\windows\$NtUninstallKB24691$\644105751\L\nplbvunu
c:\windows\$NtUninstallKB24691$\644105751\U\00000001.@
c:\windows\$NtUninstallKB24691$\644105751\U\00000002.@
c:\windows\$NtUninstallKB24691$\644105751\U\00000004.@
c:\windows\$NtUninstallKB24691$\644105751\U\80000000.@
c:\windows\$NtUninstallKB24691$\644105751\U\80000004.@
c:\windows\$NtUninstallKB24691$\644105751\U\80000032.@
c:\windows\system32\10017
c:\windows\system32\10017\chrome.manifest
c:\windows\system32\10017\components\AcroFF.txt
c:\windows\system32\10017\install.rdf
c:\windows\system32\kock
c:\windows\system32\UAs
c:\windows\system32\UAs\_UAs001.dat
c:\windows\system32\UAs\_UAs002.dat
c:\windows\system32\UAs\_UAs003.dat
c:\windows\WindowsUpdate.log
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-02-18 bis 2012-03-18  ))))))))))))))))))))))))))))))
.
.
2012-03-16 17:03 . 2012-03-16 17:03        388096        ----a-r-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-16 17:03 . 2012-03-16 17:03        --------        d-----w-        c:\programme\Trend Micro
2012-03-11 22:17 . 2012-03-11 22:17        --------        d-----w-        c:\programme\CrystalDiskInfo
2012-03-11 14:28 . 2012-03-11 14:28        --------        d-----w-        c:\programme\Games-Masters.com
2012-03-11 13:47 . 2012-03-11 13:47        --------        d-----w-        c:\programme\danny_kay1710
2012-03-10 16:32 . 2012-03-15 19:25        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2012-03-10 16:32 . 2012-03-10 16:32        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2012-03-10 15:33 . 2012-03-10 15:33        --------        d-----w-        c:\programme\Audacity
2012-03-10 15:32 . 2012-03-10 15:32        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\com.adobe.downloadassistant.AdobeDownloadAssistant
2012-03-10 15:31 . 2012-03-10 15:31        --------        d-----w-        c:\programme\Adobe Download Assistant
2012-03-10 15:31 . 2012-03-10 15:31        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe AIR
2012-03-05 12:08 . 2012-03-05 12:08        --------        d-----w-        c:\programme\Anti-keylogger
2012-02-21 18:22 . 2012-02-21 18:22        --------        d-----w-        c:\dokumente und einstellungen\Administrator\.thumbnails
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-20 13:46 . 2011-11-05 17:06        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-15 18:58 . 2011-11-14 00:11        137416        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2012-02-11 14:05 . 2012-02-11 14:05        367824        ----a-w-        c:\windows\system32\drivers\krnl_akl.sys
2012-02-09 10:59 . 2011-11-05 16:42        31552        ----a-w-        c:\windows\system32\TURegOpt.exe
2012-02-09 10:59 . 2012-01-28 17:25        28992        ----a-w-        c:\windows\system32\uxtuneup.dll
2012-02-03 09:57 . 2008-04-14 12:00        1860224        ----a-w-        c:\windows\system32\win32k.sys
2012-01-11 19:06 . 2012-02-15 12:39        3072        ------w-        c:\windows\system32\iacenc.dll
2012-01-09 16:20 . 2011-11-05 14:57        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-01-04 19:01 . 2012-01-03 15:16        268952        ----a-w-        c:\windows\system32\PnkBstrB.xtr
2012-01-04 00:48 . 2012-01-04 00:48        354176        ----a-w-        c:\windows\system32\DivXControlPanelApplet.cpl
2012-01-03 17:29 . 2012-01-03 00:32        268952        ----a-w-        c:\windows\system32\PnkBstrB.ex0
2011-12-28 22:04 . 2011-11-16 15:13        141312        ----a-w-        c:\windows\system32\javacpl.cpl
2011-12-28 22:04 . 2011-12-28 22:04        637848        ----a-w-        c:\windows\system32\npdeployJava1.dll
2011-12-28 22:04 . 2011-11-16 15:13        567184        ----a-w-        c:\windows\system32\deployJava1.dll
2012-03-18 13:01 . 2012-01-26 21:11        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-10-13 17351304]
"ICQ"="c:\programme\ICQ7.7\ICQ.exe" [2012-01-23 127040]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-11-09 98304]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-19 258512]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-09-30 252296]
"RTHDCPL"="RTHDCPL.EXE" [2011-12-05 20065384]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2011-10-26 74752]
"Anti-keylogger"="c:\programme\Anti-keylogger\Anti-keylogger.exe" [2012-02-11 409296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"
"Steam"="c:\programme\Steam\steam.exe" -silent
"SkypePM"=c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NBAgent"="c:\programme\Nero\Nero 11\Nero BackItUp\NBAgent.exe" /WinStart
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\ICQ7.7\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Wolfenstein - Enemy Territory\\ET.exe"=
"c:\\Programme\\Steam\\SteamApps\\icebomber27\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Steam\\SteamApps\\icebomber27\\day of defeat source\\hl2.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [14.11.2011 01:11 36000]
R1 krnl_akl;Anti-keylogger Kernel Service;c:\windows\system32\drivers\krnl_akl.sys [11.02.2012 15:05 367824]
R2 akl_svc;Anti-keylogger Service;c:\programme\Anti-keylogger\akl_svc.exe [11.02.2012 15:05 66768]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.11.2011 01:11 86224]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [18.03.2012 14:25 652360]
R2 NAUpdate;@c:\programme\Nero\Update\NASvc.exe,-200;c:\programme\Nero\Update\NASvc.exe [23.09.2011 18:37 641832]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe [09.02.2012 11:59 1529152]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [18.03.2012 14:25 20464]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [31.10.2011 16:22 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [05.11.2011 17:39 1691480]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-JULIAN-Administrator.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2012-03-10 16:42]
.
2012-03-18 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-11-14 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: {{77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - c:\programme\ICQ7.7\ICQ.exe
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\vyzrwnaq.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-19 00:17
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
 [0] 0x00000003
 [0] 0x0C4D8AC0
 [0] 0x5C003A00
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1177238915-1085031214-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F4627A07-6CCF-FD8D-107D-34000E4144B5}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oabehgbacenlfchcdfgiajninhogeb"=hex:64,61,63,6b,65,64,6a,6f,00,84
"oanegmkcdlonefebephjndmkbopicj"=hex:6b,61,62,6b,6e,63,6f,62,66,6b,6c,70,64,62,
  6c,63,64,66,62,6f,6c,64,00,7c
"napdbfbnnpljoomioolmgmnnedhi"=hex:6a,61,63,6b,6b,66,6a,70,61,61,70,65,69,6b,
  67,64,68,6d,62,68,00,02
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1116)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
- - - - - - - > 'explorer.exe'(1320)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\snmp.exe
c:\windows\system32\wdfmgr.exe
c:\windows\RTHDCPL.EXE
c:\progra~1\MICROS~2\rapimgr.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-19  00:21:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-18 23:21
.
Vor Suchlauf: 12 Verzeichnis(se), 149.393.338.368 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 154.030.551.040 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 0DD1FBF74C10C9AF8FAB340248723C7F[/QUOTE]
--- --- ---

Swisstreasure 19.03.2012 10:45
Was ist das :
Zitat:
regid.1986-12.com.adobe

Icebomber 19.03.2012 12:00
Ich weiß nicht. Von Adobe habe ich folgende Programme, vielleicht hilft das:
Adobe Audition
Adobe Downloader
Acrobat Reader

Ist aber eigentlich alles 100% seriös und von der offiziellen Seite. Keine Warez.

Edit: War gerade noch in der Schule am PC. Hier der volle Name der Datei: "regid.1986-12.com.adobe_Audition-CS5.5-Win-GM.swidtag"

Swisstreasure 19.03.2012 13:06
Downloade dir bitte CKScanner

Wichtig: Speichere die Datei am Desktop.
  • Doppelklick auf die CKScanner.exe und klicke auf Search For Files.
  • Danach klick auf Save List To File.
  • Es wird eine Box aufpoppen was dir mitteilt das die Datei gespeichert wurde (file saved)
  • Öffne die CKFiles.txt auf deinem Desktop und poste den Inhalt hier.

Icebomber 19.03.2012 14:21
lolololololololoololollololo

Swisstreasure 19.03.2012 14:22
Du hast lauter Cracks benutzt. Hiermit endet der Support.

Icebomber 19.03.2012 14:31
Nur bei San Andreas, weil ich zu faul bin jedes mal die CD reinzuschieben.

Icebomber 19.03.2012 14:43
Ich vertraue dem ganzen Internet hier meine Daten an und was bekomme ich dafür?

Sahnehering, sowas muss man sich erst mal leisten...

Icebomber 19.03.2012 14:44
Sorry, wollte editieren, habe geantwortet.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131