Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/60239-tr-crypt-xpack-gen.html)

Silent sharK 19.09.2008 19:56
Bitte komplett posten - das hier fehlt:
http://www.imgimg.de/uploads/CPX29f4ae02JPG.jpg
(Ein Beispiel)

alex1402 19.09.2008 20:04
Liste der Anhänge anzeigen (Anzahl: 1)
Sry. Habs mal als Screen gemacht, ist übersichtlicher.

Entschuldige die schlechte Quali.:rolleyes:

Silent sharK 19.09.2008 20:09
Sieht böse aus, ein Keylogger.
Dem rücken wir jetzt zu Leibe:

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

alex1402 19.09.2008 20:46
Code:
ComboFix 08-09-19.02 - Alexander 2008-09-19 21:26:50.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.453 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Alexander\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\h@tkeysh@@k.dll
Current_NameSpace_Catalog        REG_SZ                NameSpace_Catalog5
Current_Protocol_Catalog        REG_SZ                Protocol_Catalog9
DisplayString        REG_SZ                NLA-Namespace
DisplayString        REG_SZ                NTDS
DisplayString        REG_SZ                TCP/IP
Enabled        REG_DWORD              1 (0x1)
H:\install.exe
HKEY_LOCAL_MACHINE\software\swearware\lsp
HKEY_LOCAL_MACHINE\software\swearware\lsp\services
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000003
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000003
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000004
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000005
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000006
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000007
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000008
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000009
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000010
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000011
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000012
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000013
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000014
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000015
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000016
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000017
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000018
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000019
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000020
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000021
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000022
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000023
LibraryPath        REG_SZ                %SystemRoot%\System32\mswsock.dll
LibraryPath        REG_SZ                %SystemRoot%\System32\winrnr.dll
Next_Catalog_Entry_ID        REG_DWORD              2596 (0xa24)
Num_Catalog_Entries        REG_DWORD              23 (0x17)
Num_Catalog_Entries        REG_DWORD              3 (0x3)
PackedCatalogItem        REG_EXPAND_SZ          %SystemRoot%\system32\mswsock.dll
PackedCatalogItem        REG_EXPAND_SZ          %SystemRoot%\system32\rsvpsp.dll
ProviderId        REG_EXPAND_SZ          :$Bf¨;¦Jº¥. ×݃
ProviderId        REG_EXPAND_SZ          @ž~Ï®Z
ProviderId        REG_EXPAND_SZ          î7&;€åÏ¥U
Serial_Access_Num        REG_DWORD              4 (0x4)
Serial_Access_Num        REG_DWORD              400 (0x190)
SteelWerX Registry Console Tool 2.0
StoresServiceClassInfo        REG_DWORD              0 (0x0)
SupportedNameSpace        REG_DWORD              12 (0xc)
SupportedNameSpace        REG_DWORD              15 (0xf)
SupportedNameSpace        REG_DWORD              32 (0x20)
Version        REG_DWORD              0 (0x0)
WinSock_Registry_Version        REG_SZ                2.0
Written by Bobbi Flekman 2006 (C)

.
(((((((((((((((((((((((  Dateien erstellt von 2008-08-19 bis 2008-09-19  ))))))))))))))))))))))))))))))
.

2008-09-19 21:35 .        804                C:\WINDOWS\system32\CSC4.tmp
2008-09-19 21:15 . 2008-09-19 21:15        <DIR>        d--------        C:\Programme\CCleaner
2008-09-19 15:03 . 2008-09-19 15:03        <DIR>        d--------        C:\Programme\blacklight
2008-09-19 15:01 . 2008-09-19 15:05        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-09-19 15:01 . 2008-09-19 15:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-19 15:01 . 2008-09-19 15:01        <DIR>        d--------        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Malwarebytes
2008-09-19 15:01 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-19 15:01 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-09-19 14:34 . 2008-09-19 14:34        <DIR>        d--------        C:\Programme\Trend Micro
2008-09-15 21:51 . 2008-09-15 21:52        <DIR>        d--------        C:\Programme\Dr. Hardware 2008
2008-09-15 21:51 . 2005-12-01 11:49        23,600        --a------        C:\WINDOWS\system32\drivers\drhard.sys
2008-09-15 21:51 . 2005-12-01 15:38        20,651        --a------        C:\WINDOWS\system32\drivers\DRHARD.VXD
2008-09-15 21:51 . 2005-12-01 15:38        20,651        --a------        C:\WINDOWS\system32\DRHARD.VXD
2008-09-15 21:31 . 2008-09-15 21:31        <DIR>        d--------        C:\Programme\SiSoftware
2008-09-13 12:24 . 2008-09-13 12:24        <DIR>        d--------        C:\Programme\MSECache
2008-09-07 17:43 . 2007-09-07 23:48        188,416        --a------        C:\WINDOWS\ICSharpCode.SharpZipLib.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 19:39        8,366,112        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-19 19:38        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3
2008-09-19 19:33        0        ----a-w        C:\WINDOWS\system32\drivers\lvuvc.hs
2008-09-19 19:32        102,056        --sha-w        C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-18 19:41        ---------        d-----w        C:\Programme\FTP Commander
2008-09-17 17:52        ---------        d-----w        C:\Programme\Mozilla Thunderbird
2008-09-16 16:53        2,505,216        ----a-w        C:\WINDOWS\Internet Logs\xDB1A.tmp
2008-09-16 14:47        4,715,946        ----a-w        C:\WINDOWS\Internet Logs\tvDebug.zip
2008-09-14 15:41        ---------        d-----w        C:\Programme\Java
2008-09-12 20:39        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Azureus
2008-09-07 13:19        ---------        d-----w        C:\Programme\ICQ6
2008-09-07 13:15        743,424        ----a-w        C:\WINDOWS\Internet Logs\xDB19.tmp
2008-08-16 05:22        ---------        d-----w        C:\Programme\Flash Renamer
2008-08-16 05:22        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RL Vision
2008-08-15 17:19        ---------        d-----w        C:\Programme\MediaMonkey
2008-08-15 14:26        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Skype
2008-08-15 14:24        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\skypePM
2008-08-15 10:05        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\ID3-TagIT 3
2008-08-15 09:52        ---------        d-----w        C:\Programme\ID3-TagIT 3
2008-08-15 09:52        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ID3-TagIT 3
2008-08-15 01:10        831,488        ----a-w        C:\WINDOWS\Internet Logs\xDB18.tmp
2008-08-14 21:28        ---------        d-----w        C:\Programme\FlashMute
2008-08-14 12:01        ---------        d-----w        C:\Programme\MASPware
2008-08-14 10:08        ---------        d-----w        C:\Programme\gsmd
2008-08-13 18:59        ---------        d-----w        C:\Programme\Microsoft ActiveSync
2008-08-11 09:11        ---------        d-----w        C:\Programme\Spb Software House
2008-08-11 06:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-08-08 17:32        ---------        d-----w        C:\Programme\Microsoft.NET
2008-08-04 15:02        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Nokia Multimedia Player
2008-08-03 21:29        760,832        ----a-w        C:\WINDOWS\Internet Logs\xDB17.tmp
2008-08-03 08:26        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\ICQ
2008-08-02 09:41        77,824        ----a-w        C:\Dokumente und Einstellungen\Alexander\swt-gdip-win32-3430.dll
2008-08-02 09:41        323,584        ----a-w        C:\Dokumente und Einstellungen\Alexander\swt-win32-3430.dll
2008-08-01 18:24        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3
2008-08-01 17:46        ---------        d-----w        C:\Programme\Azureus
2008-08-01 17:20        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Ceedo
2008-07-30 11:49        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Axara
2008-07-30 11:49        ---------        d-----w        C:\Programme\Axara
2008-07-30 11:46        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-07-30 11:46        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\PC Suite
2008-07-30 11:46        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Nokia
2008-07-30 11:44        ---------        d-----w        C:\Programme\Nokia
2008-07-30 11:44        ---------        d-----w        C:\Programme\Gemeinsame Dateien\PCSuite
2008-07-30 11:44        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Nokia
2008-07-30 11:44        ---------        d-----w        C:\Programme\DIFX
2008-07-30 11:43        ---------        d-----w        C:\Programme\PC Connectivity Solution
2008-07-30 11:39        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-07-26 22:18        519,680        ----a-w        C:\WINDOWS\Internet Logs\xDB16.tmp
2008-07-25 12:42        2,333,696        ----a-w        C:\WINDOWS\Internet Logs\xDB15.tmp
2008-07-25 12:41        1,700,864        ----a-w        C:\WINDOWS\Internet Logs\xDB14.tmp
2008-07-24 13:37        ---------        d-----w        C:\Programme\eMule
2008-07-24 13:20        ---------        d-----w        C:\Programme\weblin
2008-07-24 13:20        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\zweitgeist
2008-07-24 13:19        ---------        d-----w        C:\Programme\webcamXP
2008-07-24 13:19        ---------        d-----w        C:\Programme\Uplink Demo
2008-07-24 13:19        ---------        d-----w        C:\Programme\Games
2008-07-24 13:17        ---------        d-----w        C:\Programme\NewsReactor
2008-07-24 13:16        ---------        d-----w        C:\Programme\MyDVD
2008-07-24 13:13        ---------        d-----w        C:\Programme\FreePDF_XP
2008-07-24 13:12        ---------        d-----w        C:\Programme\RestaurantManager
2008-07-24 13:12        ---------        d-----w        C:\Programme\NeoSmart Technologies
2008-07-21 19:19        ---------        d-----w        C:\Programme\FolderSize
2008-07-21 04:50        298,496        ----a-w        C:\WINDOWS\Internet Logs\xDB12.tmp
2008-07-21 04:50        2,251,264        ----a-w        C:\WINDOWS\Internet Logs\xDB13.tmp
2008-07-20 19:59        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\uTorrent
2008-07-20 18:16        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-07-20 16:30        ---------        d-----w        C:\Programme\K!TV
2008-07-20 16:03        ---------        d-----w        C:\Programme\ChrisTV Lite
2008-07-20 15:37        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\TVcentral-Core
2008-07-20 13:51        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\VMedia
2008-07-20 12:37        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Buhl Data Service
2008-07-20 12:31        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-07-20 12:30        ---------        d-----w        C:\Programme\Sceneo
2008-07-20 12:30        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Sceneo
2008-07-20 12:30        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-07-20 03:01        668,672        ----a-w        C:\WINDOWS\Internet Logs\xDB10.tmp
2008-07-20 03:01        2,195,456        ----a-w        C:\WINDOWS\Internet Logs\xDB11.tmp
2008-07-19 16:45        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-09 18:42        102,400        ----a-w        C:\WINDOWS\system32\FlashRenHelper.dll
2008-07-09 07:05        75,248        ----a-w        C:\WINDOWS\zllsputility.exe
2008-07-09 07:05        54,672        ----a-w        C:\WINDOWS\system32\vsutil_loc0407.dll
2008-07-09 07:05        42,384        ----a-w        C:\WINDOWS\zllsputility_loc0407.dll
2008-07-09 07:05        21,904        ----a-w        C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-07-09 07:05        17,808        ----a-w        C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-07-09 07:05        1,086,952        ----a-w        C:\WINDOWS\system32\zpeng24.dll
2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll
2008-07-05 21:54        543,744        ----a-w        C:\WINDOWS\Internet Logs\xDBF.tmp
2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14        672,768        ----a-w        C:\WINDOWS\system32\wininet.dll
2008-06-21 22:45        228,352        ----a-w        C:\WINDOWS\Internet Logs\xDBE.tmp
2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll
2008-04-04 20:27        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-10-09 11:55        8        --sh--r        C:\WINDOWS\system32\EC23ACB85A.sys
2006-05-03 09:06        163,328        --sh--r        C:\WINDOWS\system32\flvDX.dll
2006-10-09 11:55        4,704        --sha-w        C:\WINDOWS\system32\KGyGaAvL.sys
2007-02-21 10:47        31,232        --sh--r        C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]
"ArchosLink"="C:\Programme\Archos\ArchosLink\ArchosLink.exe" [2007-10-01 1863680]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-08-24 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 7700480]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496]
"LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"TVEService"="C:\Programme\Home Cinema\TV Enhance\TVEService.exe" [2006-10-19 151552]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 267064]
"BtTray"="C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe" [2007-09-10 258134]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 406016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-05 282624]
"K3805"="C:\Programme\Hama\Penalizer Pro Gaming Keyboard\control.exe" [2007-11-12 225280]
"TVBroadcast"="C:\Programme\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe" [2008-04-11 937984]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-10-06 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]
"H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-11-13 1289000]

C:\Dokumente und Einstellungen\Alexander\Startmen\Programme\Autostart\
TimeLeft.lnk - C:\Programme\TimeLeft3\TimeLeft.exe [2008-07-05 2037936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe"=
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-01-20 18208]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264]
R2 BlueSoleilCS;BlueSoleilCS;C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [2007-09-14 1155180]
R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [2008-04-22 1808896]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]
R2 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-03-24 14336]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
R3 BsHelpCS;BsHelpCS;C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe [2007-08-17 57447]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 drhard;DRHARD;C:\WINDOWS\system32\DRIVERS\DRHARD.SYS [2005-12-01 23600]
S3 ElanFltr;Pro Gaming Keyboard;C:\WINDOWS\system32\Drivers\ElanFltr.sys [2007-05-23 48128]
S3 PVUSB;CESG502 USB Driver;C:\WINDOWS\system32\DRIVERS\CESG502.sys [2008-01-18 40672]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2008-09-08 98488]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-23 307968]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-09-19 C:\WINDOWS\Tasks\1-Click Maintenance.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 10:58]

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 10:58]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Mozilla\Firefox\Profiles\24mcmdqd.Alex\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.t-online.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 21:34:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.

alex1402 19.09.2008 20:47
Code:
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Common Files\X10\Common\X10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\Programme\SMSC\SetIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe
C:\Programme\Hama\Penalizer Pro Gaming Keyboard\traicon.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3\1739911136C02E7D\LaunchPad.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-19 21:44:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-19 19:44:07

Vor Suchlauf: 8.050.823.168 Bytes frei
Nach Suchlauf: 8,105,537,536 Bytes frei

359        --- E O F ---        2008-09-11 06:36:35
Sry für den Doppelpost, aber der Log war zu lang...

Silent sharK 19.09.2008 20:50
Da wurde noch schön was weggelöscht.
Hier hast du deine Virenschleuder:
Zitat:
2008-07-24 13:37 --------- d-----w C:\Programme\eMule

Silent sharK 19.09.2008 21:04
Achja,
Keylogger ist noch da.
Der wird so entfernt:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


http://saved.im/mzi3ndg3nta0/aven.jpg



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
files to delete:
C:\WINDOWS\system32\h@tkeysh@@k.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

alex1402 19.09.2008 21:23
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\h@tkeysh@@k.dll" not found!
Deletion of file "C:\WINDOWS\system32\h@tkeysh@@k.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

Silent sharK 19.09.2008 21:24
Okay, die scheint aus unerklärlichen Gründen gelöscht.
Jetzt kannst du ComboFix deinstallieren:


Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

alex1402 19.09.2008 21:30
Lol^^

Das war ausnahmsweise aber nicht ich :P

Bin ich damit fertig?

Silent sharK 19.09.2008 21:31
Ja, damit bist du fertig. ;)

wenn du willst, kann ich dir noch ein Tool aufbrummen, um sicher zu gehen, das alles weg ist. :D

alex1402 19.09.2008 21:31
Nach all den andren zeih ich das jetzt auch noch durch :D

Silent sharK 19.09.2008 21:36
Okay. :D

Voilà:

SDFix anwenden:
  • Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
    http://img.bleepingcomputer.com/swr-...ix-install.jpg
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

alex1402 19.09.2008 22:27
So, hier noch der abschließende Log, wurde aber nix gefunden:

Code:
SDFix: Version 1.227
Run by Alexander on 19.09.2008 at 22:50

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 23:18:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe:*:Enabled:BlueSoleilCS"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe"="C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe:*:Enabled:Shtml8.exe"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi"
"C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe"="C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe:*:Enabled:CyberLink PowerDirector"
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"="C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

Remaining Files :



Files with Hidden Attributes :

Mon  9 Oct 2006            8 ..SHR --- "C:\WINDOWS\system32\EC23ACB85A.sys"
Wed  3 May 2006      163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Mon  9 Oct 2006        4,704 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 21 Feb 2007        31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Sun 26 Jun 2005      616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005        45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll"
Thu  1 Nov 2007        72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe"
Fri 27 Oct 2006        16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll"
Fri 19 Sep 2008          120 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Tue  4 Jun 2002        84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue  4 Jun 2002        44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002        73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002        65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun  9 Jun 2002        36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue  4 Jun 2002        20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002      102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002      176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002      208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002      217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun  9 Jun 2002        40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sun  4 Nov 2001      225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001      225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004      232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll"
Sun  9 Jun 2002      525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002      245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002        45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002        98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002        94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002        90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002      102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun  9 Jun 2002        49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll"
Fri  2 May 2008    3,493,888 A..H. --- "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3\temp\Launchpad Removal.exe"
Fri 23 May 2008        11,115 A.SH. --- "C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Fri 19 Sep 2008        5,684 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE1.tmp"
Fri 19 Sep 2008        5,684 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE2.tmp"
Fri 19 Sep 2008        5,938 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBED.tmp"

Finished!


:aplaus: :aplaus:

Vielen Dank für deine Hilfe!! Endlich wieder frei. :) Danke für die viele Unterstützung. Sollte mehr von solchen Leuten, wie dir geben. ;)

Echt klasse!

:dankeschoen: :dankeschoen:

http://www.smiliegenerator.de/s35/smilies-37531.png























:bussi: ^^



Aber was für Schaden kann der Keylogger jetzt angerichtet haben? Was leitet der weiter? Nur Passwörter?

Silent sharK 19.09.2008 22:43
Kein Problem, war Ehrensache. :party:
Auf jedenfall solltest du alle Passwörter von einem anderen Rechner aus ändern, von dem du weißt, dass er 100% sauber ist.

Keylogger zeichnen Tastatureingaben auf und senden die Logs an Dritte weiter.

Schönen Abend noch :juul:


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:04 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131