Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Polizeitrojaner WinXP (https://www.trojaner-board.de/120247-polizeitrojaner-winxp.html)

SplinterCell 24.07.2012 09:40
Polizeitrojaner WinXP
 
Hallo Leute,

ich bin neu hier und muss gleich um Hilfe bitten ;) habe mir den Polizeitrojaner eingefangen! Malware Programm habe ich schon scannen lassen und gecleant!

hier mein OTL-Scan! Danke schon im voraus für den Fix!

lg
splinta

Larusso 25.07.2012 13:09
:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  • Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
  • Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.
Note: Sollte ich 48 Stunden nichts von mir hören lassen, schicke mir bitte eine PM. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des PCs.




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


SplinterCell 25.07.2012 14:26
Hi Daniel,

bei mir funktioniert soweit wieder alles! Hab gestern Malwarebytes laufen und danach cleanen lassen. Das einzige Problem was ich festellen musste ist, das meine Desktop Icons nicht mehr anordenbar sind, dh nach jedem Aktualisieren des Desktops bzw. nach jedem Neustart sind die Icon immer links angeordnet (durchgewürfelt - Ordnung geht verloren).

ESET-Onlinescanner habe ich gestartet poste nachher das LOG! danke schon mal recht herzlich!

lg

C:\Dokumente und Einstellungen\hinterlmic\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8\3ce2c108-10633af3 Java/Exploit.CVE-2012-0507.BZ trojan
D:\Downloads\Unlocker1.9.1.exe Win32/Adware.ADON application


hier das log-File vom ESET-Scan!

Danke!
lg!

Larusso 26.07.2012 12:25
[code]
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

SplinterCell 26.07.2012 14:27
Combofix Logfile:
Code:
ComboFix 12-07-27.01 - hinterlmic 26.07.2012  15:09:04.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1982.1229 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\hinterlmic\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\windows\assembly\GAC\Desktop.ini
c:\windows\system32\PowerToyReadme.htm
c:\windows\system32\test
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-06-26 bis 2012-07-26  ))))))))))))))))))))))))))))))
.
.
2012-07-26 12:04 . 2012-06-29 08:44        6891424        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{841FC350-C12C-4931-9AF2-E672A5ECBEB2}\mpengine.dll
2012-07-26 05:53 . 2012-06-29 08:44        6891424        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-07-25 13:01 . 2012-07-25 13:01        --------        d-----w-        c:\programme\ESET
2012-07-25 09:21 . 2012-07-25 09:21        --------        d-----w-        c:\dokumente und einstellungen\hinterlmic\Lokale Einstellungen\Anwendungsdaten\TBlauhut
2012-07-25 08:53 . 2012-07-25 09:21        --------        d-----w-        c:\dokumente und einstellungen\Gast
2012-07-24 13:31 . 2012-07-25 09:22        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2012-07-24 13:31 . 2012-07-25 09:21        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2012-07-24 10:27 . 2012-07-24 10:26        476976        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-07-24 07:48 . 2012-07-24 07:48        --------        d-----w-        c:\dokumente und einstellungen\hinterlmic\Anwendungsdaten\Malwarebytes
2012-07-24 07:47 . 2012-07-03 11:46        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-07-24 07:47 . 2012-07-24 07:48        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2012-07-24 06:49 . 2012-07-24 06:49        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-24 10:26 . 2011-10-25 09:45        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2012-07-24 10:26 . 2011-03-15 10:18        472880        ----a-w-        c:\windows\system32\deployJava1.dll
2012-07-19 10:56 . 2012-04-02 05:35        426184        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-07-19 10:56 . 2011-05-23 05:35        70344        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2008-04-14 05:23        1866240        ----a-w-        c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2008-04-14 05:52        1372672        ----a-w-        c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2008-04-14 05:52        1172480        ----a-w-        c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2008-04-14 05:52        152576        ----a-w-        c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2008-09-22 15:23        329240        ----a-w-        c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2008-09-22 15:23        219160        ----a-w-        c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2008-09-22 15:23        210968        ----a-w-        c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2008-07-18 20:09        15896        ----a-w-        c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2008-07-18 20:08        18456        ----a-w-        c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2008-09-22 15:23        53784        ----a-w-        c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2008-09-22 15:23        35864        ----a-w-        c:\windows\system32\wups.dll
2012-06-02 13:19 . 2008-07-18 20:10        45080        ----a-w-        c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2008-07-18 20:09        15896        ----a-w-        c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 05:52        97304        ----a-w-        c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2008-07-18 20:10        23576        ----a-w-        c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2008-09-22 15:23        577048        ----a-w-        c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2008-09-22 15:23        1933848        ----a-w-        c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2010-04-27 03:03        275696        ----a-w-        c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2010-04-27 03:03        214256        ----a-w-        c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2010-04-27 03:03        18160        ----a-w-        c:\windows\system32\mucltui.dll.mui
2012-05-31 13:22 . 2008-04-14 05:52        604160        ----a-w-        c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2008-04-14 05:52        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-05-11 14:40 . 2008-04-14 05:53        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2012-05-11 14:40 . 2008-04-14 05:52        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-05-11 11:38 . 2008-04-14 05:25        385024        ----a-w-        c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 05:30        2029056        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2012-05-05 03:14 . 2008-04-14 05:29        2150912        ----a-w-        c:\windows\system32\ntoskrnl.exe
2012-05-02 13:46 . 2008-09-22 15:21        139656        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-07-19 05:56 . 2011-12-21 14:09        136672        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2010-03-21 07:55        87304        ----a-w-        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-03 7630848]
"nwiz"="nwiz.exe" [2006-10-03 1617920]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-03 86016]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-27 282624]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 81920]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-01-29 52392]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\dokumente und einstellungen\hinterlmic\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
procexp.lnk - c:\programme\ProcExp\procexp.exe [2008-9-26 3550592]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2008-9-26 1280512]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2004-9-30 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\qaphooks.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\JUSTIZ\\VJT4NCS\\jre\\bin\\java.exe"=
"c:\\JUSTIZ\\PROD_VJ117\\jre\\bin\\javaw.exe"=
"c:\\JUSTIZ\\PROD_VJ117\\jre\\bin\\java.exe"=
"c:\\Programme\\VMware\\VMware Player\\vmware-authd.exe"=
"c:\\JUSTIZ\\VJtrunkCCS\\jre\\bin\\java.exe"=
"c:\\JUSTIZ\\VJ121\\jre\\bin\\java.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\eviware\\soapUI-4.0.0\\bin\\soapUI-4.0.0.exe"=
"c:\\Programme\\Borland\\SilkTest\\ng\\agent\\openAgent.exe"=
"c:\\Programme\\Borland\\SilkTest\\partner.exe"=
"c:\\Programme\\Borland\\SilkTest\\agent.exe"=
"c:\\Programme\\Borland\\SilkTest\\ng\\recorder\\silkRecorder.exe"=
"c:\\Programme\\Borland\\SilkTest\\ng\\controlcenter\\controlcenter.exe"=
"c:\\Programme\\Borland\\SilkTest\\ng\\InfoService\\silkInfoservice.exe"=
"c:\\JUSTIZ\\PROD_VJ121\\jre\\bin\\javaw.exe"=
"c:\\JUSTIZ\\PROD_VJ121\\jre\\bin\\java.exe"=
"c:\\JUSTIZ\\VJ122CS\\jre\\bin\\java.exe"=
"c:\\JUSTIZ\\VJ122\\jre\\bin\\java.exe"=
"c:\\JUSTIZ\\VJ122FCS\\jre\\bin\\java.exe"=
"c:\\JUSTIZ\\VJ122F\\jre\\bin\\java.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800
.
R0 vmci;VMware VMCI Bus Driver;c:\windows\system32\drivers\vmci.sys [08.08.2011 15:58 98928]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [08.03.2011 16:05 218688]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [12.04.2011 15:29 21992]
R2 DB2MGMTSVC_DB2COPY1;DB2-Verwaltungsservice (DB2COPY1);c:\programme\IBM\SQLLIB\BIN\db2mgmtsvc.exe [11.07.2006 01:40 35880]
R2 DB2NTSECSERVER_DB2COPY1;DB2-Sicherheitsservice (DB2COPY1);c:\programme\IBM\SQLLIB\BIN\db2sec.exe [11.07.2006 01:41 14376]
R2 SilkMeter Proxy Service;SilkMeter Proxy Service;c:\programme\Borland\SilkMeter\bin\smpService.exe [26.09.2008 14:52 540672]
R2 SilkTest Information Service;SilkTest Information Service;c:\programme\Borland\SilkTest\ng\InfoService\silkInfoservice.exe [18.04.2012 15:29 98304]
R2 VMUSBArbService;VMware USB Arbitration Service;c:\programme\Gemeinsame Dateien\VMware\USB\vmware-usbarbitrator.exe [29.08.2011 23:11 665200]
R3 mv2;mv2;c:\windows\system32\drivers\mv2.sys [12.01.2010 17:51 10688]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [12.07.2011 16:05 136176]
S2 LocalCpa;Force Repository;"c:\programme\Core Security Technologies\CORE FORCE\Repository\LocalCpa.exe" --> c:\programme\Core Security Technologies\CORE FORCE\Repository\LocalCpa.exe [?]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [02.04.2012 07:35 250056]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [12.07.2011 16:05 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [25.04.2012 08:56 113120]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [01.10.2006 14:37 26624]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-02 10:56]
.
2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-12 14:04]
.
2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-07-12 14:04]
.
2012-07-25 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" //mailurl:mailto:info@schweizerhaus.at?subject=Reservierungsanfrage
LSP: %SystemRoot%\system32\vsocklib.dll
Trusted Zone: bmjtest
TCP: Interfaces\{4F277B89-E597-4D76-ABFB-3A1449388583}: NameServer = 172.30.16.99,10.16.19.61
FF - ProfilePath - c:\dokumente und einstellungen\hinterlmic\Anwendungsdaten\Mozilla\Firefox\Profiles\9mg637k0.default\
FF - prefs.js: browser.startup.homepage - www.brz.gv.at
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-26 15:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3172)
c:\programme\Hardcopy\HcDLL2_21_Win32.dll
c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
c:\programme\TortoiseSVN\bin\TortoiseStub.dll
c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
c:\programme\TortoiseSVN\bin\intl3_tsvn.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Microsoft Security Client\MsMpEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Borland\SilkMeter\bin\smSystem.exe
c:\programme\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\vmnat.exe
c:\windows\system32\vmnetdhcp.exe
c:\programme\VMware\VMware Player\vmware-authd.exe
c:\windows\system32\wscntfy.exe
c:\windows\stsystra.exe
c:\windows\Logi_MwX.Exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-26  15:21:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-07-26 13:21
.
Vor Suchlauf: 7.713.824.768 Bytes frei
Nach Suchlauf: 7.994.937.344 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /3GB /usepmtimer
.
- - End Of File - - 8A6C56C180809B30BA77198B6EDC08CB
--- --- ---



Hallo Daniel,

ich hoffe das Log-File passt so, vl. danke für die ausführliche Hilfe! Ich bin leider bis Montag nicht mehr an den Rechner wo die Malware oben ist/war! Ich kann also erst wieder ab Montag mit deinen Anweisungen weitermachen, ich hoffe das geht klar!

lg

Larusso 27.07.2012 13:26
Noch Probleme ?

SplinterCell 30.07.2012 06:48
Nein, Danke keine Probleme mehr! ist es möglich den Thread zu löschen bzgl. Username (oder unkenntlich machen) usw.


Danke für die ausführliche Hilfe!
lg

Larusso 30.07.2012 12:14
http://www.trojaner-board.de/108422-...-anfragen.html


Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
Combofix /Uninstall
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.



Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher, immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Eine out of date Anti Virensoftware ist nutzlos!


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

SplinterCell 30.07.2012 14:20
Alles erledigt! Danke! Ich bitte dich noch mir Rechte zu geben das ich meine Antworten editieren kann, damit ich den username rauslöschen kann! danke!

lg

Larusso 31.07.2012 10:10
Admin weiß bescheid. Ich kann dir keine Rechte geben ( würde ich auch nicht, wenn ich es könnte )


Froh das wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131