Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   win*.tmp Plagegeister und andere? (https://www.trojaner-board.de/47984-win-tmp-plagegeister-andere.html)

mbd01 09.01.2008 21:03
win*.tmp Plagegeister und andere?
 
Hallo Experten!

Nach einigen Selbstversuchen oben genanntes Problem zu beheben wende ich mich nun an euch. Habe mir viele Postings durchgelesen und versucht daraus alleine Schlau zu werden -- mit wenig Erfolg. Leider.
Vielleicht könnt Ihr helfen, hier mal mein Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:53:54, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZCfgsvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\antivir\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=1061006
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.google.de/hws/sb/dell-row-rel/de/side.html?channel=de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=1061006
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.telba.de:21;http=proxy.telba.de:8080;https=proxy.telba.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.25.110;10.71.0.231;10.71.0.12;10.71.0.151;omnivista4760.telba.schulung;10.80.38.3;192.168.1.10;<local>
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Outerinfo] "C:\Programme\Outerinfo\Outerinfo.exe"
O4 - HKCU\..\Run: [OuterinfoUpdate] "C:\Programme\Outerinfo\OuterinfoUpdate.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Markierte Rufnummer/URI wählen - C:\Programme\LANCOM\LANCOM Advanced VoIP Client\IEDial.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: LANCOM Advanced VoIP Client Wählhilfe - {F8E553C6-4C00-11D3-80BC-00105A653379} - C:\Programme\LANCOM\LANCOM Advanced VoIP Client\IEDial.htm
O9 - Extra 'Tools' menuitem: LANCOM Advanced VoIP Client Wählhilfe - {F8E553C6-4C00-11D3-80BC-00105A653379} - C:\Programme\LANCOM\LANCOM Advanced VoIP Client\IEDial.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183543715729
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - http://support.f-secure.com/ols3beta/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = telbalocal.de
O17 - HKLM\Software\..\Telephony: DomainName = telbalocal.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = telbalocal.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = telbalocal.de
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O23 - Service: NMC service (a47xxsrv) - Unknown owner - C:\NMC\bin\a47xxsrv.exe (file missing)
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8112 bytes

Sunny 09.01.2008 21:08
Hallo mbd01 und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\Programme\Outerinfo\Outerinfo.exe
C:\WINDOWS\system32\wowfx.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

mbd01 09.01.2008 22:17
Hallo Sunny,

folgendes ist passiert:

1. habe die dateien outerinfo.exe und wowfx.dll gesucht
2. outerinfo.exe gefunden, wowfx.dll nicht - auch mit der windows suche nicht
3. outerinfo hochgeladen und scannen lassen
4. ergebnis in die antwort kopiert
5. system freeze + reboot
6. outerinfo.exe weg!!
7. scanresult weg!!

hier der combofix log

ComboFix 08-01-10.2 - mbrunow 2008-01-09 21:46:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.608 [GMT 1:00]
ausgeführt von:: E:\antivir\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\mbrunow\Anwendungsdaten\antivirus.exe
C:\Dokumente und Einstellungen\mbrunow\Startmenü\Programme\Outerinfo
C:\Dokumente und Einstellungen\mbrunow\Startmenü\Programme\Outerinfo\Terms.lnk
C:\Dokumente und Einstellungen\mbrunow\Startmenü\Programme\Outerinfo\Uninstall.lnk
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\FF.dll
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Programme\outerinfo\OinUninstall.exe
C:\Programme\outerinfo\OiUninstaller.exe
C:\Programme\outerinfo\Outerinfo.dll
C:\Programme\outerinfo\outerinfo.ico
C:\Programme\outerinfo\Terms.rtf
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\gjkkj.ini
C:\WINDOWS\system32\gjkkj.ini2
C:\WINDOWS\system32\jkkjg.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\qscwjrlj.dll
C:\WINDOWS\system32\wpcap.dll
E:\RECYCLER\Verknüpfung mit mosaik.sql auf d_data (O).lnk

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF
-------\NPF


((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 ))))))))))))))))))))))))))))))
.

2008-01-09 21:44 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 19:58 . 2008-01-09 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Intel
2008-01-08 23:35 . 2008-01-08 23:36 <DIR> d-------- C:\WINDOWS\ERUNT
2008-01-08 16:16 . 2008-01-09 09:21 118,784 --a------ C:\WINDOWS\system32\igfxpers .exe
2008-01-08 16:16 . 2008-01-09 09:21 98,304 --a------ C:\WINDOWS\system32\igfxtray .exe
2008-01-08 16:16 . 2008-01-09 09:21 77,824 --a------ C:\WINDOWS\system32\hkcmd .exe
2008-01-08 14:35 . 2005-12-13 02:45 155,648 --a------ C:\WINDOWS\system32\igfxres.dll
2008-01-08 14:34 . 2008-01-08 14:34 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-01-08 14:22 . 2006-02-28 13:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-01-08 14:21 . 2006-02-28 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-01-08 14:20 . 2006-02-28 13:00 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\smtpsnap.dll
2008-01-08 14:17 . 2008-01-08 14:17 <DIR> d-------- C:\Programme\Online-Dienste
2008-01-08 14:17 . 2008-01-08 14:17 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-01-08 14:17 . 2008-01-08 14:17 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-01-08 14:17 . 2008-01-08 14:17 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-01-08 14:17 . 2008-01-08 14:17 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-01-08 14:17 . 2008-01-08 14:17 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-01-08 14:17 . 2008-01-08 14:17 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-01-08 14:13 . 2004-08-04 00:58 154,112 --a------ C:\WINDOWS\system32\irftp.exe
2008-01-08 14:13 . 2004-08-03 23:00 87,424 --a------ C:\WINDOWS\system32\drivers\irda.sys
2008-01-08 14:13 . 2004-08-04 00:57 27,136 --a------ C:\WINDOWS\system32\irmon.dll
2008-01-08 14:13 . 2004-08-04 00:57 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2008-01-08 14:09 . 2008-01-09 09:21 <DIR> d-------- C:\Programme\Apoint
2008-01-08 13:58 . 2001-08-17 13:51 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys
2008-01-08 12:40 . 2008-01-08 13:12 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\VMware
2008-01-08 12:40 . 2008-01-08 12:40 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Bytemobile
2008-01-08 10:39 . 2008-01-08 23:34 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2008-01-07 12:36 . 2008-01-07 12:36 <DIR> d-------- C:\Dokumente und Einstellungen\mbrunow\Anwendungsdaten\Alice Systems
2007-12-29 00:49 . 2008-01-08 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-29 00:42 . 2005-08-27 03:38 1,435,272 --a------ C:\WINDOWS\system32\Flash.ocx
2007-12-29 00:42 . 2003-11-19 14:59 512,688 --a------ C:\WINDOWS\system32\XceedCry.dll
2007-12-29 00:42 . 2004-05-11 10:56 423,784 --a------ C:\WINDOWS\system32\XceedBkp.dll
2007-12-29 00:42 . 2004-02-05 21:53 389,120 --a------ C:\WINDOWS\system32\ACTSKN43.OCX
2007-12-29 00:42 . 2001-07-28 13:50 265,753 --a------ C:\WINDOWS\system32\AS-Exp2.ocx
2007-12-29 00:42 . 2004-01-09 11:54 188,416 --a------ C:\WINDOWS\system32\actsplash.ocx
2007-12-29 00:42 . 2004-03-09 00:00 131,856 --a------ C:\WINDOWS\system32\MSADODC.ocx
2007-12-29 00:42 . 2001-03-28 23:02 89,088 --a------ C:\WINDOWS\system32\ProgressBar4.ocx
2007-12-29 00:42 . 1999-01-26 20:36 11,012 --a------ C:\WINDOWS\system32\threadapi.tlb
2007-12-28 23:50 . 2007-12-28 23:50 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Bytemobile
2007-12-28 22:21 . 2007-12-28 22:21 <DIR> d-------- C:\Programme\Lavasoft
2007-12-28 22:05 . 2007-12-28 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\mbrunow\Anwendungsdaten\PC Tools
2007-12-28 21:20 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-10 20:52 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-01-10 20:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-01-09 20:38 21,275 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2007-12-28 22:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-21 18:57 --------- d-----w C:\Programme\PSFtp Free
2007-12-07 12:03 --------- d-----w C:\Dokumente und Einstellungen\mbrunow\Anwendungsdaten\VMware
2007-12-05 09:41 --------- d-----w C:\Programme\Nokia
2007-11-22 08:38 --------- d-----w C:\Programme\Actis
2007-11-16 17:47 --------- d-----w C:\Programme\T-Mobile
2007-11-16 17:47 --------- d-----w C:\Programme\Gemeinsame Dateien\GtFlashSwitch
2007-11-16 17:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Funk Software
2007-11-16 17:46 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Bytemobile
2007-11-16 17:45 73,806 ----a-w C:\WINDOWS\Novatel_700_800_PCCardInstallerUninstall.exe
2007-11-16 17:45 72,985 ----a-w C:\WINDOWS\OptionPluss_PCCardInstallerUninstall.exe
2007-11-16 17:45 67,722 ----a-w C:\WINDOWS\OptionHsdpaGTMax72ExpressInstallerUninstall.exe
2007-11-16 17:45 --------- d-----w C:\Programme\Huawei E620 PC Card
2007-11-16 17:44 --------- d-----w C:\Programme\Gemeinsame Dateien\SWF Studio
2007-02-07 10:34 64,056 ----a-w C:\Dokumente und Einstellungen\mbrunow\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
Code:
<pre>
----a-w            39,792 2008-01-09 08:20:50  C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w          176,128 2008-01-09 08:21:23  C:\Programme\Apoint\Apoint .exe
----a-w          493,024 2008-01-08 23:10:49  C:\Programme\CA\eTrust Antivirus\realmon .exe
----a-w          180,269 2008-01-07 21:41:55  C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe
----a-w          602,182 2008-01-08 23:10:47  C:\Programme\Intel\Wireless\Bin\iFrmewrk .exe
----a-w          667,718 2008-01-08 23:10:47  C:\Programme\Intel\Wireless\Bin\ZCfgSvc .exe
----a-w            75,520 2008-01-08 23:10:53  C:\Programme\Java\jre1.5.0_11\bin\jusched .exe
----a-w        4,943,184 2008-01-08 22:53:29  C:\Programme\Spybot - Search & Destroy\SpybotSD .exe
----a-w        1,460,560 2008-01-08 22:53:43  C:\Programme\Spybot - Search & Destroy\TeaTimer .exe
----a-w            15,360 2008-01-08 22:34:55  C:\WINDOWS\system32\ctfmon .exe
----a-w            77,824 2008-01-09 08:21:13  C:\WINDOWS\system32\hkcmd .exe
----a-w          118,784 2008-01-09 08:21:18  C:\WINDOWS\system32\igfxpers .exe
----a-w            98,304 2008-01-09 08:21:09  C:\WINDOWS\system32\igfxtray .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B3CBDC2-8AB6-45B1-B59E-7B0DEE595917}]
C:\WINDOWS\system32\ddccabb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [ ]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [ ]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [ ]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [ ]
"SpybotSnD"="C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" [ ]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [ ]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [ ]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [ ]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 16:30 282624 C:\WINDOWS\stsystra.exe]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{2B3CBDC2-8AB6-45B1-B59E-7B0DEE595917}"= C:\WINDOWS\system32\ddccabb.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccabb]
ddccabb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 2004-11-05 11:50 8704 C:\WINDOWS\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winopn32]
winopn32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, , , wowfx.dll

R0 tffsport;M-Systems DiskOnChip-2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys [2006-02-28 13:00]
R1 tcpipBM;Bytemobile Kernel Network Provider;C:\WINDOWS\system32\drivers\tcpipBM.sys [2006-06-23 07:11]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-24 13:35]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2004-12-14 01:00]
R3 odysseyIM4;Odyssey Network Agent Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM4.sys [2005-06-10 06:55]
S2 a47xxsrv;NMC service;C:\NMC\bin\a47xxsrv.exe []
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
S3 EL3C574;FE574B-3Com 10/100 LAN-PC-Kartengerätetreiber;C:\WINDOWS\system32\DRIVERS\el574nd4.sys []
S3 fpcmbase;AVM ISDN-Controller FRITZ!Card PCMCIA;C:\WINDOWS\system32\DRIVERS\fpcmbase.sys [2001-08-17 12:14]
S3 FUS2BASE;FRITZ!Card USB;C:\WINDOWS\system32\DRIVERS\fus2base.sys [2004-12-14 01:00]
S3 G3GRSC;G3G R Smart Card;C:\WINDOWS\system32\DRIVERS\g3grsc.sys [2005-06-10 11:52]
S3 G3GRUMDM;G3G R USB Modem;C:\WINDOWS\system32\DRIVERS\g3grumdm.sys [2005-06-10 11:52]
S3 G3GRUSER;G3G R USB Serial;C:\WINDOWS\system32\DRIVERS\g3gruser.sys [2005-06-10 11:52]
S3 GCKMPR5;GCKMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\GCKMPR5.SYS []
S3 GCKNDIS5;GCKNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\GCKNDIS5.SYS []
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2006-10-31 14:44]
S3 GTUQBUS;GT UQ BUS;C:\WINDOWS\system32\DRIVERS\gtuqbus.sys [2006-10-31 14:44]
S3 memcard;PCMCIA-Speicherkartentreiber;C:\WINDOWS\system32\DRIVERS\memcard.sys [2001-08-17 12:58]
S4 gtdetectsc;GtDetectSc Service;C:\WINDOWS\system32\gtdetectsc.exe []
S4 GtFlashSwitch;GtFlashSwitch;"C:\Programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe" [2007-02-09 13:48]

*Newly Created Service* - AEGISP
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 22:04:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-10 22:06:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-10 21:05:58
.
2007-11-16 10:35:08 --- E O F ---

Sunny 10.01.2008 19:33
Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

mbd01 10.01.2008 21:13
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:08, on 2008-01-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\antivir\HiJackThis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=1061006
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.telba.de:21;http=proxy.telba.de:8080;https=proxy.telba.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.25.110;10.71.0.231;10.71.0.12;10.71.0.151;omnivista4760.telba.schulung;10.80.38.3;192.168.1.10;<local>
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2B3CBDC2-8AB6-45B1-B59E-7B0DEE595917} - C:\WINDOWS\system32\ddccabb.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Markierte Rufnummer/URI wählen - C:\Programme\LANCOM\LANCOM Advanced VoIP Client\IEDial.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: LANCOM Advanced VoIP Client Wählhilfe - {F8E553C6-4C00-11D3-80BC-00105A653379} - C:\Programme\LANCOM\LANCOM Advanced VoIP Client\IEDial.htm
O9 - Extra 'Tools' menuitem: LANCOM Advanced VoIP Client Wählhilfe - {F8E553C6-4C00-11D3-80BC-00105A653379} - C:\Programme\LANCOM\LANCOM Advanced VoIP Client\IEDial.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200001675890
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - h**p://support.f-secure.com/ols3beta/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = telbalocal.de
O17 - HKLM\Software\..\Telephony: DomainName = telbalocal.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = telbalocal.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = telbalocal.de
O20 - Winlogon Notify: ddccabb - ddccabb.dll (file missing)
O20 - Winlogon Notify: winopn32 - winopn32.dll (file missing)
O23 - Service: NMC service (a47xxsrv) - Unknown owner - C:\NMC\bin\a47xxsrv.exe (file missing)
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8571 bytes


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:19 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129