Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Habe ich einen Virus oder Malware oder sonstiges auf dem Rechner? (https://www.trojaner-board.de/89398-habe-virus-malware-sonstiges-rechner.html)

cosinus 14.08.2010 19:05
Dann nimm mal diesen Text:

Code:
:OTL
DRV - (CLEDX) -- C:\WINDOWS\system32\drivers\cledx.sys (Team H2O)
O4 - HKLM..\Run: [H2O] C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
@Alternate Data Stream - 154 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C22674B6
:Files
C:\Programme\Syncrosoft
C:\Programme\ntfsundelete.exe

Hexana 14.08.2010 19:11
========== OTL ==========
Error: No service named CLEDX was found to stop!
Service\Driver key CLEDX not found.
File C:\WINDOWS\system32\drivers\cledx.sys not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\H2O not found.
File C:\Programme\Syncrosoft\POS\H2O\cledx.exe not found.
Unable to delete ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C22674B6 .
========== FILES ==========
File\Folder C:\Programme\Syncrosoft not found.
File\Folder C:\Programme\ntfsundelete.exe not found.

OTL by OldTimer - Version 3.2.9.1 log created on 08142010_200959

Hexana 14.08.2010 19:12
Dann kommt das, ich seh jetzt schon, dass da was nicht stimmt! :-(

cosinus 14.08.2010 19:12
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hexana 14.08.2010 21:06
Combofix Logfile:
Code:
ComboFix 10-08-14.02 - Popeye2 14.08.2010  21:49:48.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.1120 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Popeye2\Desktop\Cofi.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\programme\\setup.exe
c:\programme\Setup.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-14 bis 2010-08-14  ))))))))))))))))))))))))))))))
.

2010-08-31 04:21 . 2010-08-31 05:40        --------        d-----w-        C:\pt
2010-08-30 16:34 . 2010-08-30 16:34        --------        d-----w-        c:\programme\Roland
2010-08-30 16:33 . 2010-08-30 16:33        --------        d-----w-        c:\programme\PowerTracks DirectX Plugins
2010-08-30 16:31 . 2010-07-16 19:06        --------        d-----w-        C:\bb
2010-08-30 16:30 . 2010-06-16 16:49        --------        d-----w-        c:\programme\Band in
2010-08-14 19:39 . 2010-08-14 19:39        --------        d-----w-        c:\programme\CCleaner
2010-08-14 18:59 . 2010-08-14 18:59        --------        d--h--w-        c:\windows\PIF
2010-08-13 18:30 . 2010-08-13 18:30        --------        d-----w-        C:\_OTL
2010-08-12 15:05 . 2010-08-12 15:05        574976        ----a-w-        c:\programme\OTL.exe
2010-08-12 08:04 . 2010-08-12 08:04        388608        ----a-w-        c:\programme\HiJackThis204.exe
2010-08-11 11:18 . 2010-08-11 11:18        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\Malwarebytes
2010-08-11 11:18 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-11 11:18 . 2010-08-11 11:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-11 11:18 . 2010-08-11 11:18        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-11 11:18 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-11 11:17 . 2010-08-11 11:17        6153352        ----a-w-        c:\programme\mbam-setup-1.46.exe
2010-08-11 11:11 . 2010-08-11 11:14        --------        d-----w-        c:\programme\trend micro
2010-08-11 11:11 . 2010-08-11 11:12        --------        d-----w-        C:\rsit
2010-08-11 11:10 . 2010-08-11 11:10        339991        ----a-w-        c:\programme\RSIT.exe
2010-08-11 05:13 . 2010-08-11 05:13        125624        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\shellex.dll
2010-08-11 05:13 . 2010-08-11 05:13        113336        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\sbstart.exe
2010-08-11 05:13 . 2010-08-11 05:13        404152        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\mcouas.dll
2010-08-11 05:13 . 2010-08-11 05:13        166584        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\klwtblc.dll
2010-08-11 05:13 . 2010-08-11 05:13        129720        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\shellex.dll
2010-08-11 05:13 . 2010-08-11 05:13        113336        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\sbstart.exe
2010-08-11 05:13 . 2010-08-11 05:13        404152        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\mcouas.dll
2010-08-11 05:13 . 2010-08-11 05:13        170680        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\klwtblc.dll
2010-08-11 05:05 . 2010-08-11 05:05        283984        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-08-11 04:41 . 2010-08-11 05:13        97549        ----a-w-        c:\windows\system32\drivers\klick.dat
2010-08-11 04:41 . 2010-08-11 05:13        113933        ----a-w-        c:\windows\system32\drivers\klin.dat
2010-08-11 04:39 . 2010-08-11 04:39        --------        d-----w-        c:\programme\Kaspersky Lab
2010-08-11 04:39 . 2010-08-14 19:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-08-11 04:24 . 2010-08-11 04:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-08-11 04:22 . 2010-08-11 04:24        109342472        ----a-w-        c:\programme\kis11.0.1.400de.exe
2010-08-07 07:59 . 2010-08-07 07:59        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-08-07 07:59 . 2010-08-07 07:59        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-30 19:13 . 2010-07-30 19:15        --------        d-----w-        c:\programme\NTFS Undelete
2010-07-29 21:31 . 2010-07-29 21:31        0        ----a-w-        c:\windows\nsreg.dat
2010-07-29 21:31 . 2010-08-06 07:33        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2010-07-29 21:31 . 2010-07-29 21:31        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\Thunderbird
2010-07-29 21:30 . 2010-08-11 07:07        --------        d-----w-        c:\programme\Mozilla Thunderbird
2010-07-29 21:29 . 2010-07-29 21:30        9297080        ----a-w-        c:\programme\Thunderbird Setup 3.1.1.exe
2010-07-25 13:06 . 2010-07-25 14:58        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-07-25 13:06 . 2010-07-25 13:06        --------        d-----w-        c:\programme\DVDVideoSoftTB
2010-07-22 04:59 . 2010-07-25 12:43        --------        d-----w-        c:\programme\DVDVideoSoft

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-30 16:34 . 2009-05-07 17:52        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-08-14 11:50 . 2009-05-08 07:04        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\ICQ
2010-08-14 10:43 . 2009-06-09 09:30        1        ----a-w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-14 09:23 . 2009-05-10 16:37        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\Winamp
2010-08-13 09:27 . 2009-05-11 19:54        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-12 16:27 . 2010-08-12 15:48        61500        ----a-w-        c:\programme\Extras.Txt
2010-08-12 16:27 . 2010-08-12 15:48        99716        ----a-w-        c:\programme\OTL.Txt
2010-08-12 08:04 . 2010-08-12 08:04        8162        ----a-w-        c:\programme\hijackthis.log
2010-08-11 21:44 . 2004-08-04 10:00        80092        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-11 21:44 . 2004-08-04 10:00        448396        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-11 21:05 . 2010-05-04 20:47        --------        d-----w-        c:\programme\Steinberg
2010-08-11 05:14 . 2010-06-28 17:47        283984        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-07-01 19:35 . 2010-07-01 19:35        228024        ----a-w-        c:\windows\system32\klogon.dll
2010-07-01 19:14 . 2010-07-01 19:14        68256        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2011 11.0.1.400\German\setup.exe
2010-07-01 06:06 . 2010-07-01 06:06        1037648        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-06-30 12:28 . 2004-08-04 10:00        149504        ----a-w-        c:\windows\system32\schannel.dll
2010-06-30 05:06 . 2010-06-30 05:06        271696        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\sys_critical_obj.dll
2010-06-24 12:22 . 2006-03-04 03:34        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 10:00        1852032        ----a-w-        c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 10:00        354304        ----a-w-        c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 10:00        80384        ----a-w-        c:\windows\system32\iccvid.dll
2010-06-17 05:09 . 2010-06-17 05:09        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\Amazon
2010-06-17 05:01 . 2010-06-17 05:01        --------        d-----w-        c:\programme\Amazon
2010-06-17 03:18 . 2009-05-08 07:03        --------        d-----w-        c:\programme\ICQ6.5
2010-06-16 05:41 . 2009-05-08 07:00        35888        ----a-w-        c:\dokumente und einstellungen\Popeye2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-14 14:31 . 2009-05-07 16:21        744448        ----a-w-        c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-04 10:00        1172480        ----a-w-        c:\windows\system32\msxml3.dll
2010-06-09 15:43 . 2010-06-09 15:43        11352        ----a-w-        c:\windows\system32\drivers\kl2.sys
2010-06-09 15:43 . 2010-06-09 15:43        132184        ----a-w-        c:\windows\system32\drivers\kl1.sys
2010-06-03 02:41 . 2010-06-03 02:41        3600384        ----a-w-        c:\windows\system32\GPhotos.scr
2010-05-21 12:14 . 2009-10-03 14:11        221568        ------w-        c:\windows\system32\MpSigStub.exe
2010-05-03 16:05 . 2010-05-03 16:05        87849        ----a-w-        c:\programme\PSafeP_1.2-DK.zip
2009-04-27 10:04 . 2009-04-27 10:04        140387075        ----a-w-        c:\programme\openofficeorg1.cab
2009-04-27 10:03 . 2009-04-27 10:03        9818624        ----a-w-        c:\programme\openofficeorg31.msi
2009-04-27 04:43 . 2009-04-27 04:43        336        ----a-w-        c:\programme\setup.ini
2002-03-11 09:06 . 2002-03-11 09:06        1822520        ----a-w-        c:\programme\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45        1708856        ----a-w-        c:\programme\instmsia.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 08:08        2393184        ----a-w-        c:\programme\DVDVideoSoftTB\tbDVDV.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SKDaemon.exe"="c:\programme\Lenovo\Productivity Keyboard\SKDaemon.exe" [2007-02-09 262144]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2004-02-23 188416]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-04-10 37888]
"Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-07-01 357096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

c:\dokumente und einstellungen\Popeye2\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\DVDVideoSoft\\Free Studio\\Free YouTube to Mp3 Converter\\FreeYouTubeToMP3Converter.exe"=
"c:\\Programme\\DVDVideoSoft\\Free Studio\\Free Audio CD to MP3 Converter\\FreeAudioCDToMP3Converter.exe"=

R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 17:43 11352]
R2 RVIEGVST;VSC VST Engine;c:\programme\Roland\Virtual Sound Canvas VST\RVIEg01VST.sys [30.08.2010 18:34 188276]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 12:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
.
Inhalt des "geplante Tasks" Ordners

2010-08-14 c:\windows\Tasks\User_Feed_Synchronization-{3D906343-AD9F-4AD5-BE4D-3187AAB5FF9D}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube Download - c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
Trusted Zone: icq.com
Trusted Zone: karaoke-version.com
Trusted Zone: wer-kennt-wen.de\www
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-14 21:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(808)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2656)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\windows\system32\wscntfy.exe
c:\programme\Lexmark X1100 Series\lxbkbmon.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-14  22:03:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-14 20:03

Vor Suchlauf: 13 Verzeichnis(se), 20.049.985.536 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 19.964.518.400 Bytes frei

- - End Of File - - B377E8A18EC22EEDC7C1DB7C5D90BBA5
--- --- ---

cosinus 14.08.2010 23:59
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Registry::
[-HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hexana 15.08.2010 06:01
Combofix Logfile:
Code:
ComboFix 10-08-14.02 - Popeye2 15.08.2010  6:49.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.1121 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Popeye2\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Popeye2\Desktop\CFScript.txt
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-07-15 bis 2010-08-15  ))))))))))))))))))))))))))))))
.

2010-08-31 04:21 . 2010-08-31 05:40        --------        d-----w-        C:\pt
2010-08-30 16:34 . 2010-08-30 16:34        --------        d-----w-        c:\programme\Roland
2010-08-30 16:33 . 2010-08-30 16:33        --------        d-----w-        c:\programme\PowerTracks DirectX Plugins
2010-08-30 16:31 . 2010-07-16 19:06        --------        d-----w-        C:\bb
2010-08-30 16:30 . 2010-06-16 16:49        --------        d-----w-        c:\programme\Band in
2010-08-14 19:39 . 2010-08-14 19:39        --------        d-----w-        c:\programme\CCleaner
2010-08-14 18:59 . 2010-08-14 18:59        --------        d--h--w-        c:\windows\PIF
2010-08-13 18:30 . 2010-08-13 18:30        --------        d-----w-        C:\_OTL
2010-08-12 15:05 . 2010-08-12 15:05        574976        ----a-w-        c:\programme\OTL.exe
2010-08-12 08:04 . 2010-08-12 08:04        388608        ----a-w-        c:\programme\HiJackThis204.exe
2010-08-11 11:18 . 2010-08-11 11:18        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\Malwarebytes
2010-08-11 11:18 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-11 11:18 . 2010-08-11 11:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-11 11:18 . 2010-08-11 11:18        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-11 11:18 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-11 11:17 . 2010-08-11 11:17        6153352        ----a-w-        c:\programme\mbam-setup-1.46.exe
2010-08-11 11:11 . 2010-08-11 11:14        --------        d-----w-        c:\programme\trend micro
2010-08-11 11:11 . 2010-08-11 11:12        --------        d-----w-        C:\rsit
2010-08-11 11:10 . 2010-08-11 11:10        339991        ----a-w-        c:\programme\RSIT.exe
2010-08-11 05:13 . 2010-08-11 05:13        125624        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\shellex.dll
2010-08-11 05:13 . 2010-08-11 05:13        113336        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\sbstart.exe
2010-08-11 05:13 . 2010-08-11 05:13        404152        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\mcouas.dll
2010-08-11 05:13 . 2010-08-11 05:13        166584        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\klwtblc.dll
2010-08-11 05:13 . 2010-08-11 05:13        129720        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\shellex.dll
2010-08-11 05:13 . 2010-08-11 05:13        113336        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\sbstart.exe
2010-08-11 05:13 . 2010-08-11 05:13        404152        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\mcouas.dll
2010-08-11 05:13 . 2010-08-11 05:13        170680        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\klwtblc.dll
2010-08-11 05:05 . 2010-08-11 05:05        283984        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-08-11 04:41 . 2010-08-11 05:13        97549        ----a-w-        c:\windows\system32\drivers\klick.dat
2010-08-11 04:41 . 2010-08-11 05:13        113933        ----a-w-        c:\windows\system32\drivers\klin.dat
2010-08-11 04:39 . 2010-08-11 04:39        --------        d-----w-        c:\programme\Kaspersky Lab
2010-08-11 04:39 . 2010-08-15 04:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-08-11 04:24 . 2010-08-11 04:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-08-11 04:22 . 2010-08-11 04:24        109342472        ----a-w-        c:\programme\kis11.0.1.400de.exe
2010-08-07 07:59 . 2010-08-07 07:59        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-08-07 07:59 . 2010-08-07 07:59        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-30 19:13 . 2010-07-30 19:15        --------        d-----w-        c:\programme\NTFS Undelete
2010-07-29 21:31 . 2010-07-29 21:31        0        ----a-w-        c:\windows\nsreg.dat
2010-07-29 21:31 . 2010-08-06 07:33        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2010-07-29 21:31 . 2010-07-29 21:31        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\Thunderbird
2010-07-29 21:30 . 2010-08-11 07:07        --------        d-----w-        c:\programme\Mozilla Thunderbird
2010-07-29 21:29 . 2010-07-29 21:30        9297080        ----a-w-        c:\programme\Thunderbird Setup 3.1.1.exe
2010-07-25 13:06 . 2010-07-25 14:58        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-07-25 13:06 . 2010-07-25 13:06        --------        d-----w-        c:\programme\DVDVideoSoftTB
2010-07-22 04:59 . 2010-07-25 12:43        --------        d-----w-        c:\programme\DVDVideoSoft

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-30 16:34 . 2009-05-07 17:52        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-08-14 11:50 . 2009-05-08 07:04        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\ICQ
2010-08-14 10:43 . 2009-06-09 09:30        1        ----a-w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-14 09:23 . 2009-05-10 16:37        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\Winamp
2010-08-13 09:27 . 2009-05-11 19:54        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-12 16:27 . 2010-08-12 15:48        61500        ----a-w-        c:\programme\Extras.Txt
2010-08-12 16:27 . 2010-08-12 15:48        99716        ----a-w-        c:\programme\OTL.Txt
2010-08-12 08:04 . 2010-08-12 08:04        8162        ----a-w-        c:\programme\hijackthis.log
2010-08-11 21:44 . 2004-08-04 10:00        80092        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-11 21:44 . 2004-08-04 10:00        448396        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-11 21:05 . 2010-05-04 20:47        --------        d-----w-        c:\programme\Steinberg
2010-08-11 05:14 . 2010-06-28 17:47        283984        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-07-01 19:35 . 2010-07-01 19:35        228024        ----a-w-        c:\windows\system32\klogon.dll
2010-07-01 19:14 . 2010-07-01 19:14        68256        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2011 11.0.1.400\German\setup.exe
2010-07-01 06:06 . 2010-07-01 06:06        1037648        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-06-30 12:28 . 2004-08-04 10:00        149504        ----a-w-        c:\windows\system32\schannel.dll
2010-06-30 05:06 . 2010-06-30 05:06        271696        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\sys_critical_obj.dll
2010-06-24 12:22 . 2006-03-04 03:34        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 10:00        1852032        ----a-w-        c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 10:00        354304        ----a-w-        c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 10:00        80384        ----a-w-        c:\windows\system32\iccvid.dll
2010-06-17 05:09 . 2010-06-17 05:09        --------        d-----w-        c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\Amazon
2010-06-17 05:01 . 2010-06-17 05:01        --------        d-----w-        c:\programme\Amazon
2010-06-17 03:18 . 2009-05-08 07:03        --------        d-----w-        c:\programme\ICQ6.5
2010-06-16 05:41 . 2009-05-08 07:00        35888        ----a-w-        c:\dokumente und einstellungen\Popeye2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-14 14:31 . 2009-05-07 16:21        744448        ----a-w-        c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-04 10:00        1172480        ----a-w-        c:\windows\system32\msxml3.dll
2010-06-09 15:43 . 2010-06-09 15:43        11352        ----a-w-        c:\windows\system32\drivers\kl2.sys
2010-06-09 15:43 . 2010-06-09 15:43        132184        ----a-w-        c:\windows\system32\drivers\kl1.sys
2010-06-03 02:41 . 2010-06-03 02:41        3600384        ----a-w-        c:\windows\system32\GPhotos.scr
2010-05-21 12:14 . 2009-10-03 14:11        221568        ------w-        c:\windows\system32\MpSigStub.exe
2010-05-03 16:05 . 2010-05-03 16:05        87849        ----a-w-        c:\programme\PSafeP_1.2-DK.zip
2009-04-27 10:04 . 2009-04-27 10:04        140387075        ----a-w-        c:\programme\openofficeorg1.cab
2009-04-27 10:03 . 2009-04-27 10:03        9818624        ----a-w-        c:\programme\openofficeorg31.msi
2009-04-27 04:43 . 2009-04-27 04:43        336        ----a-w-        c:\programme\setup.ini
2002-03-11 09:06 . 2002-03-11 09:06        1822520        ----a-w-        c:\programme\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45        1708856        ----a-w-        c:\programme\instmsia.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SKDaemon.exe"="c:\programme\Lenovo\Productivity Keyboard\SKDaemon.exe" [2007-02-09 262144]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2004-02-23 188416]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-04-10 37888]
"Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-07-01 357096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

c:\dokumente und einstellungen\Popeye2\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\DVDVideoSoft\\Free Studio\\Free YouTube to Mp3 Converter\\FreeYouTubeToMP3Converter.exe"=
"c:\\Programme\\DVDVideoSoft\\Free Studio\\Free Audio CD to MP3 Converter\\FreeAudioCDToMP3Converter.exe"=

R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 17:43 11352]
R2 RVIEGVST;VSC VST Engine;c:\programme\Roland\Virtual Sound Canvas VST\RVIEg01VST.sys [30.08.2010 18:34 188276]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 12:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
.
Inhalt des "geplante Tasks" Ordners

2010-08-15 c:\windows\Tasks\User_Feed_Synchronization-{3D906343-AD9F-4AD5-BE4D-3187AAB5FF9D}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube Download - c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Popeye2\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
Trusted Zone: icq.com
Trusted Zone: karaoke-version.com
Trusted Zone: wer-kennt-wen.de\www
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
BHO-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
Toolbar-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
WebBrowser-{872B5B88-9DB5-4310-BDD0-AC189557E5F5} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-15 06:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3684)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-08-15  06:58:06
ComboFix-quarantined-files.txt  2010-08-15 04:58
ComboFix2.txt  2010-08-14 20:03

Vor Suchlauf: 15 Verzeichnis(se), 19.872.305.152 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 19.914.784.768 Bytes frei

- - End Of File - - D250CC71D175C80D5503722291F573C9
--- --- ---

Hexana 15.08.2010 06:04
Hi,

ich wurde aber nicht gefragt ob ich den PC neu starten möchte...Das Logfile wurde erstellt, ohne dass ich neu gestartet habe. Falls ich den Forgang jetzt nochmal wiederholen soll, sag bitte bescheid.

Nochmals...

Vielen Lieben Dank für die Hilfe! :bussi:

cosinus 15.08.2010 18:21
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:28 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19