Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte schaut euch mal mein Log an (https://www.trojaner-board.de/69251-bitte-schaut-euch-mal-log.html)

EMMA77 28.01.2009 15:29
Bitte schaut euch mal mein Log an
 
ComboFix 09-01-21.04 - xxx 2009-01-28 13:08:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.254.90 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006
c:\dokumente und einstellungen\xxx\Anwendungsdaten\driveclean-upinstallfull_de[1].exe
c:\dokumente und einstellungen\xxx\Anwendungsdaten\installer_de[1].exe
c:\dokumente und einstellungen\xxx\Anwendungsdaten\WinAntiVirus Pro 2006
c:\dokumente und einstellungen\xxx\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe
c:\programme\Gemeinsame Dateien\winantivirus pro 2006
c:\programme\Gemeinsame Dateien\winantivirus pro 2006\WapCHK.dll
c:\programme\Gemeinsame Dateien\WinSoftware
c:\programme\Gemeinsame Dateien\WinSoftware\CrXML.dll
c:\programme\QUAD Utilities
C:\WA6P
c:\windows\system32\pppcgm.exe
c:\windows\system32\sphlp32.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FOPN
-------\Legacy_VSPF
-------\Legacy_VSPF_HK
-------\Service_FOPN
-------\Service_vspf
-------\Service_vspf_hk


((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-28 ))))))))))))))))))))))))))))))
.

2009-01-28 13:01 . 2009-01-28 13:02 <DIR> d-------- C:\32788R22FWJFW
2009-01-10 20:12 . 2009-01-10 20:12 23,392 --a------ c:\windows\system32\nscompat.tlb
2009-01-10 20:12 . 2009-01-10 20:12 16,832 --a------ c:\windows\system32\amcompat.tlb

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-28 10:57 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-28 10:57 --------- d-----w c:\programme\EPSON
2009-01-27 12:55 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-01-18 01:25 --------- d-----w c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2009-01-12 14:32 --------- d-----w c:\dokumente und einstellungen\xxx\Anwendungsdaten\PC Suite
2009-01-10 19:11 --------- d-----w c:\programme\Google
2009-01-10 19:09 --------- d-----w c:\programme\Windows Media Connect 2
2009-01-10 19:00 --------- d-----w c:\programme\EPS PostScript PDF 2 JPG & Co 1
2008-12-21 17:10 --------- d-----w c:\programme\Java
2008-03-12 13:15 100,924 ----a-w c:\dokumente und einstellungen\xxx\last_report.dat
2006-12-12 08:58 46,592 ----a-w c:\dokumente und einstellungen\xxx\fopn.sys
2005-11-14 19:38 22,072 ----a-w c:\dokumente und einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-07-02 180269]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-21 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.MJPG"= pvmjpg21.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0stera

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Phone\\Skype.exe"=

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - Alerter
*Deregistered* - AntiVirScheduler
*Deregistered* - AntiVirService
*Deregistered* - AudioSrv
*Deregistered* - bgsvcgen
*Deregistered* - Bonjour Service
*Deregistered* - Browser
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - HidServ
*Deregistered* - IpNat
*Deregistered* - iPod Service
*Deregistered* - IPSec
*Deregistered* - JavaQuickStarterService
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - mnmdd
*Deregistered* - Modem
*Deregistered* - Mouclass
*Deregistered* - MountMgr
*Deregistered* - MRxDAV
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - mssmbios
*Deregistered* - Mup
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - NWCWorkstation
*Deregistered* - NwlnkIpx
*Deregistered* - NwlnkNb
*Deregistered* - NwlnkSpx
*Deregistered* - NWRDR
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - rdpdr
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - stisvc
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - tunmp
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WmiApSrv
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WudfPf
*Deregistered* - WudfSvc
*Deregistered* - WZCSVC

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{acb14780-3252-11dd-be3c-0002b32d0519}]
\Shell\AutoRun\command - E:\PMB_P.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{87CFD49F-0DEF-149C-ED26-4E08A930A067} - control64.dll
HKCU-Run-UnSpyPC - c:\programme\UnSpyPC\UnSpyPC.exe
HKCU-Run-OM_Monitor - c:\programme\OLYMPUS\OLYMPUS Master\Monitor.exe
HKCU-Run-ICQ - c:\programme\ICQ6\ICQ.exe
HKCU-Run-jopplerg - hyandex.exe
HKCU-Run-gabber - TRPT.exe
HKLM-Run-ICQ Lite - c:\programme\ICQLite\ICQLite.exe
HKLM-Run-dmwzq.exe - c:\windows\system32\dmwzq.exe
HKLM-Run-gdccw - c:\progra~1\GEMEIN~1\FESTPL~1\GDCcw.exe
MSConfigStartUp-iehelper - xsetup.exe
MSConfigStartUp-TForm1 - qwe.exe
MSConfigStartUp-TRPT - ssweeper.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.myspace.com/
mStart Page = hxxp://www.msn.de/
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = xxx
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: beatport.com\.www
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-28 13:21:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\bgsvcgen.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-28 13:30:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-28 12:30:01

Vor Suchlauf: 17 Verzeichnis(se), 58.463.617.024 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 59,020,894,208 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

251 --- E O F --- 2008-10-25 08:42:55



ich hoffe ich habe es richtig gemacht:o

Rex Fatuorum 28.01.2009 15:40
Wer hat dir denn gesagt du sollst "Combofix" laufen lassen ..?
Frag doch denjenigen besser mal...

EMMA77 28.01.2009 16:11
ist das denn nicht richtig!!!! ein Freund von mir meinte ich sollte dies mal machen!!! Ich kenne mich wirklich garnicht damit aus! Entschuldigung


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55