Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   autorun- funktion/ selbstgebastelte viren (https://www.trojaner-board.de/97319-autorun-funktion-selbstgebastelte-viren.html)

babrina 15.05.2011 22:43
hallo, das würde ich selbst gerne wissen. die tage habe ich bei einem bekannten meine mails abgerufen. als ich wieder zuhause war, konnte ich mich nicht mehr anmelden. möglicherweise ist er mit der rückwärtsfunktion in meinen account und hat dort herumgeschnüffelt und dabei emails gelöscht? oder hat sich jemand in meinen rechner eingehackt? die gelöschten mails sind nicht mehr in dem ordner gelöschte mails. dort sind allerdings welche, die ich mit sicherheit nicht dorthin verschoben habe.
vielleicht setzte ich am besten mein system neu auf? right media bekomme ich auch nicht los. möglicherweise ist das gar kein cookie, ansonsten könnte ich das doch löschen?
anbei der log von netstat -a. sind da denn irgendwelche ports offen oder ist sonst etwas verdächtiges zu sehen?


-----------


Microsoft Windows [Version 6.0.6002]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\babsi01>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:80 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:135 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:443 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:445 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:5357 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:29868 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:49152 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:49153 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:49154 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:49155 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:49160 babsi01-PC:0 ABHÖREN
TCP 0.0.0.0:49163 babsi01-PC:0 ABHÖREN
TCP 127.0.0.1:4664 babsi01-PC:0 ABHÖREN
TCP 127.0.0.1:9421 babsi01-PC:0 ABHÖREN
TCP 127.0.0.1:9422 babsi01-PC:0 ABHÖREN
TCP 127.0.0.1:9423 babsi01-PC:0 ABHÖREN
TCP 127.0.0.1:10635 babsi01-PC:0 ABHÖREN
TCP 127.0.0.1:49893 babsi01-PC:49894 HERGESTELLT
TCP 127.0.0.1:49894 babsi01-PC:49893 HERGESTELLT
TCP 127.0.0.1:49895 babsi01-PC:49896 HERGESTELLT
TCP 127.0.0.1:49896 babsi01-PC:49895 HERGESTELLT
TCP 192.168.2.32:139 babsi01-PC:0 ABHÖREN
TCP 192.168.2.32:49158 213-248-117-215:https HERGESTELLT
TCP 192.168.2.32:49172 e181108115:30110 HERGESTELLT
TCP 192.168.2.32:49274 psi:https SCHLIESSEN_WARTEN
TCP 192.168.2.32:49975 www-10-01-ash2:http WARTEND
TCP 192.168.2.32:49977 fra07s07-in-f105:http WARTEND
TCP 192.168.2.32:49979 ber01s02-in-f102:http WARTEND
TCP 192.168.2.32:49981 ec2-50-17-223-48:http WARTEND
TCP 192.168.2.32:49987 www-10-01-ash2:http WARTEND
TCP 192.168.2.32:49988 80.157.149.16:http WARTEND
TCP 192.168.2.32:49989 80.157.149.16:http WARTEND
TCP 192.168.2.32:49990 80.157.149.16:http WARTEND
TCP 192.168.2.32:49991 80.157.149.16:http WARTEND
TCP 192.168.2.32:49992 80.157.149.16:http WARTEND
TCP 192.168.2.32:49993 8.10.179.160:http WARTEND
TCP 192.168.2.32:49995 8.10.179.160:http WARTEND
TCP 192.168.2.32:49996 8.10.179.160:http WARTEND
TCP 192.168.2.32:49997 8.10.179.160:http WARTEND
TCP 192.168.2.32:49998 8.10.179.160:http WARTEND
TCP 192.168.2.32:49999 8.10.179.160:http WARTEND
TCP 192.168.2.32:50000 8.10.179.160:http WARTEND
TCP 192.168.2.32:50001 8.10.179.160:http WARTEND
TCP 192.168.2.32:50002 8.10.179.160:http WARTEND
TCP 192.168.2.32:50003 8.10.179.165:http WARTEND
TCP 192.168.2.32:50004 8.10.179.160:http WARTEND
TCP 192.168.2.32:50005 8.10.179.160:http WARTEND
TCP 192.168.2.32:50006 8.10.179.164:http WARTEND
TCP 192.168.2.32:50007 8.10.179.164:http WARTEND
TCP 192.168.2.32:50008 8.10.179.164:http WARTEND
TCP 192.168.2.32:50009 8.10.179.164:http WARTEND
TCP 192.168.2.32:50010 8.10.179.164:http WARTEND
TCP 192.168.2.32:50011 8.10.179.164:http WARTEND
TCP 192.168.2.32:50012 fra07s07-in-f105:http HERGESTELLT
TCP 192.168.2.32:50014 api:http WARTEND
TCP 192.168.2.32:50020 www:http WARTEND
TCP 192.168.2.32:50022 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50023 www:http WARTEND
TCP 192.168.2.32:50024 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50025 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50026 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50027 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50028 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50029 2.19.63.139:http HERGESTELLT
TCP 192.168.2.32:50031 *:http WARTEND
TCP 192.168.2.32:50032 80.190.151.35:http WARTEND
TCP 192.168.2.32:50033 80.190.151.60:http WARTEND
TCP 192.168.2.32:50034 ber01s02-in-f102:http HERGESTELLT
TCP 192.168.2.32:50035 217.89.105.176:http HERGESTELLT
TCP 192.168.2.32:50036 217.89.105.176:http HERGESTELLT
TCP 192.168.2.32:50037 217.89.105.176:http HERGESTELLT
TCP 192.168.2.32:50038 217.89.105.176:http HERGESTELLT
TCP 192.168.2.32:50039 217.89.105.176:http HERGESTELLT
TCP 192.168.2.32:50040 217.89.105.176:http HERGESTELLT
TCP 192.168.2.32:50041 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50042 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50043 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50044 217.89.105.178:http HERGESTELLT
TCP 192.168.2.32:50045 193.46.63.175:http WARTEND
TCP 192.168.2.32:50046 www-11-03-ash2:http HERGESTELLT
TCP 192.168.2.32:50047 www-11-03-ash2:http HERGESTELLT
TCP 192.168.2.32:50048 www-11-03-ash2:http HERGESTELLT
TCP [::]:135 babsi01-PC:0 ABHÖREN
TCP [::]:445 babsi01-PC:0 ABHÖREN
TCP [::]:5357 babsi01-PC:0 ABHÖREN
TCP [::]:49152 babsi01-PC:0 ABHÖREN
TCP [::]:49153 babsi01-PC:0 ABHÖREN
TCP [::]:49154 babsi01-PC:0 ABHÖREN
TCP [::]:49155 babsi01-PC:0 ABHÖREN
TCP [::]:49163 babsi01-PC:0 ABHÖREN
UDP 0.0.0.0:123 *:*
UDP 0.0.0.0:443 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:29868 *:*
UDP 0.0.0.0:59938 *:*
UDP 0.0.0.0:59939 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:49694 *:*
UDP 127.0.0.1:50207 *:*
UDP 127.0.0.1:52557 *:*
UDP 127.0.0.1:55958 *:*
UDP 127.0.0.1:58738 *:*
UDP 127.0.0.1:58739 *:*
UDP 127.0.0.1:63768 *:*
UDP 192.168.2.32:137 *:*
UDP 192.168.2.32:138 *:*
UDP 192.168.2.32:1900 *:*
UDP 192.168.2.32:50206 *:*
UDP [::]:123 *:*
UDP [::]:5355 *:*
UDP [::1]:1900 *:*
UDP [::1]:50204 *:*
UDP [fe80::100:7f:fffe%10]:1900 *:*
UDP [fe80::100:7f:fffe%10]:50205 *:*
UDP [fe80::56c:4a0a:5493:984f%11]:546 *:*
UDP [fe80::56c:4a0a:5493:984f%11]:1900 *:*
UDP [fe80::56c:4a0a:5493:984f%11]:50203 *:*
UDP [fe80::d555:6dd:3faa:576e%15]:1900 *:*
UDP [fe80::d555:6dd:3faa:576e%15]:50202 *:*

C:\Users\babsi01>

cosinus 16.05.2011 11:45
Zitat:
die tage habe ich bei einem bekannten meine mails abgerufen. als ich wieder zuhause war, konnte ich mich nicht mehr anmelden.
Und der hat auch einen garantiert sauberen Rechner? Oder läuft da auch ein Zoo an Schädlingen, die fein säuberlich jedes eingegeben Passwort mitloggen und an den pöhsen Hacker schicken?
Oder glaubst du, dass er dein Passwort geändert hat? Dazu müsstest du aber das Passwort gespeichert haben im Browser.

netstat bringt rein garnichts, ich weiß nicht warum man immer wieder netstat Ausgaben hier posten muss.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

babrina 20.05.2011 00:42
während des vorgangs musste ich ab und an die maus bewegen, weil mein aol- fenster sich ständig von selbst geöffnet hat- keine ahnung, warum. das macht es öfter ( warum ?). hat das denn irgendwelche konsequenzen auf das ergebnis oder meinen rechner? als das logfile erstellt wurde, musste ich das fenster jedoch nicht schließen. zwischendurch kam die meldung, erstelle einen wiederherstellungszeitpunkt o. ä.- wobei mir nicht klar war, ob das system mit sich selbser spricht oder ob ich gemeint war. ich habe nichts getan und gewartet. gruß, babrina


----------------------

Combofix Logfile:
Code:
ComboFix 11-05-18.04 - babsi01 20.05.2011  0:50.1.2 - x86
ausgeführt von:: c:\users\babsi01\Downloads\cofi.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\babsi01\AppData\Local\hcvfsmo.dat
c:\users\babsi01\AppData\Local\hcvfsmo_nav.dat
c:\users\babsi01\AppData\Local\hcvfsmo_navps.dat
c:\users\babsi01\AppData\Roaming\EurekaLog
c:\users\babsi01\AppData\Roaming\EurekaLog\CyberGhost\CyberGhost.elf
c:\users\babsi01\AppData\Roaming\EurekaLog\EurekaLog.ini
c:\users\babsi01\AppData\Roaming\Microsoft\Windows\Recent\}08(RgQ[t=NK)_uA(Tji
c:\users\babsi01\AppData\Roaming\Microsoft\Windows\Recent\Uc5_wmaxdpmoOB1YSX~mJp9zt!9l{7
c:\users\babsi01\AppData\Roaming\MiniDm
c:\users\babsi01\AppData\Roaming\MiniDm\conf.ini
c:\users\babsi01\AppData\Roaming\MiniDm\history.dat
c:\windows\system32\spool\prtprocs\w32x86\ppbiPr.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-19 bis 2011-05-19  ))))))))))))))))))))))))))))))
.
.
2011-05-19 23:09 . 2011-05-19 23:09        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-05-17 20:23 . 2011-05-17 22:49        --------        d-----w-        c:\users\babsi01\AppData\Local\Adobe
2011-05-17 07:36 . 2011-04-11 07:04        7071056        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{1E11C456-D29D-4D26-AC6C-A2BC23D67866}\mpengine.dll
2011-05-15 21:53 . 2011-05-15 21:53        --------        d-----w-        c:\program files\Axence
2011-05-15 07:31 . 2011-05-15 07:31        --------        d-----w-        c:\users\babsi01\AppData\Local\Apps
2011-05-13 21:02 . 2011-05-13 21:02        --------        d-----w-        C:\_OTL
2011-05-11 00:20 . 2011-04-07 12:01        2409784        ----a-w-        c:\program files\Windows Mail\OESpamFilter.dat
2011-05-09 14:35 . 2011-05-09 14:35        0        ----a-w-        c:\users\babsi01\AppData\Local\BIT7C50.tmp
2011-04-30 19:53 . 2011-04-14 16:40        142296        ----a-w-        c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-04-30 19:53 . 2011-04-14 16:40        89048        ----a-w-        c:\program files\Mozilla Firefox\libEGL.dll
2011-04-30 19:53 . 2011-04-14 16:40        781272        ----a-w-        c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-04-30 19:53 . 2011-04-14 16:40        465880        ----a-w-        c:\program files\Mozilla Firefox\libGLESv2.dll
2011-04-30 19:53 . 2011-04-14 16:40        1874904        ----a-w-        c:\program files\Mozilla Firefox\mozjs.dll
2011-04-30 19:53 . 2011-04-14 16:40        15832        ----a-w-        c:\program files\Mozilla Firefox\mozalloc.dll
2011-04-30 19:53 . 2010-01-01 08:00        1974616        ----a-w-        c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-04-30 19:53 . 2010-01-01 08:00        1892184        ----a-w-        c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-04-29 21:02 . 2011-03-03 15:40        28672        ----a-w-        c:\windows\system32\Apphlpdm.dll
2011-04-29 21:02 . 2011-03-03 13:35        4240384        ----a-w-        c:\windows\system32\GameUXLegacyGDFs.dll
2011-04-29 21:02 . 2011-03-12 21:55        876032        ----a-w-        c:\windows\system32\XpsPrint.dll
2011-04-27 16:49 . 2011-04-27 16:49        --------        d-----w-        c:\users\babsi01\AppData\Roaming\Webroot
2011-04-27 16:49 . 2011-04-27 16:49        --------        d-----w-        c:\program files\Webroot
2011-04-25 20:12 . 2011-04-25 20:12        --------        d-----w-        c:\users\babsi01\AppData\Roaming\SUPERAntiSpyware.com
2011-04-25 20:12 . 2011-04-25 20:12        --------        d-----w-        c:\programdata\SUPERAntiSpyware.com
2011-04-25 20:12 . 2011-04-25 20:12        --------        d-----w-        c:\program files\SUPERAntiSpyware
2011-04-25 19:51 . 2011-04-25 19:51        --------        d-----w-        c:\program files\Everything(1)
2011-04-25 08:29 . 2011-04-25 08:29        --------        d-----w-        c:\users\babsi01\AppData\Local\Sunbelt Software
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-22 01:38 . 2010-06-24 10:33        18328        ----a-w-        c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-03-19 18:32 . 2009-11-05 19:02        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-03-10 17:03 . 2011-04-15 15:26        1162240        ----a-w-        c:\windows\system32\mfc42u.dll
2011-03-10 17:03 . 2011-04-15 15:26        1136640        ----a-w-        c:\windows\system32\mfc42.dll
2011-03-03 15:42 . 2011-04-15 15:26        739328        ----a-w-        c:\windows\system32\inetcomm.dll
2011-03-03 15:40 . 2011-04-29 21:02        173056        ----a-w-        c:\windows\apppatch\AcXtrnal.dll
2011-03-03 15:40 . 2011-04-29 21:02        542720        ----a-w-        c:\windows\apppatch\AcLayers.dll
2011-03-03 15:40 . 2011-04-29 21:02        458752        ----a-w-        c:\windows\apppatch\AcSpecfc.dll
2011-03-03 15:40 . 2011-04-29 21:02        2159616        ----a-w-        c:\windows\apppatch\AcGenral.dll
2011-03-03 13:25 . 2011-04-15 15:26        2041856        ----a-w-        c:\windows\system32\win32k.sys
2011-03-02 15:44 . 2011-04-15 15:26        86528        ----a-w-        c:\windows\system32\dnsrslvr.dll
2011-02-22 14:13 . 2011-03-23 03:05        288768        ----a-w-        c:\windows\system32\XpsGdiConverter.dll
2011-02-22 13:33 . 2011-03-23 03:05        1068544        ----a-w-        c:\windows\system32\DWrite.dll
2011-02-22 13:33 . 2011-03-23 03:05        797696        ----a-w-        c:\windows\system32\FntCache.dll
2011-02-22 13:24 . 2011-04-15 15:26        213504        ----a-w-        c:\windows\system32\drivers\mrxsmb10.sys
2011-02-22 13:24 . 2011-04-15 15:26        79360        ----a-w-        c:\windows\system32\drivers\mrxsmb20.sys
2011-02-22 13:23 . 2011-04-15 15:26        106496        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys
2011-02-22 13:23 . 2011-04-15 15:26        69632        ----a-w-        c:\windows\system32\drivers\bowser.sys
2005-04-06 07:05 . 2005-04-06 07:05        1327104        ----a-w-        c:\program files\Photoshop.dll
2005-04-06 07:05 . 2005-04-06 07:05        65536        ----a-w-        c:\program files\regsresde_DE.dll
2005-04-06 07:05 . 2005-04-06 07:05        49152        ----a-w-        c:\program files\persresde_DE.dll
2005-04-06 07:05 . 2005-04-06 07:05        49152        ----a-w-        c:\program files\eularesde_DE.dll
2005-04-06 07:05 . 2005-04-06 07:05        692224        ----a-w-        c:\program files\ImageReadyRes.dll
2005-04-06 07:05 . 2005-04-06 07:05        41984        ----a-w-        c:\program files\Plugin.dll
2005-04-06 07:04 . 2005-04-06 07:04        287232        ----a-w-        c:\program files\Adobelmsvc Installer.dll
2005-04-06 03:31 . 2005-04-06 03:31        20919070        ----a-w-        c:\program files\Photoshop.exe
2005-04-06 02:50 . 2005-04-06 02:50        2142208        ----a-w-        c:\program files\PSArt.dll
2005-04-06 02:50 . 2005-04-06 02:50        1748992        ----a-w-        c:\program files\PSViews.dll
2005-04-06 02:46 . 2005-04-06 02:46        1397984        ----a-w-        c:\program files\Tw10122.dat
2005-04-06 02:38 . 2005-04-06 02:38        19980288        ----a-w-        c:\program files\ImageReady.exe
2005-03-23 05:35 . 2005-03-23 05:35        4153344        ----a-w-        c:\program files\VersionCue.dll
2005-03-23 05:35 . 2005-03-23 05:35        3170304        ----a-w-        c:\program files\VersionCueUI.dll
2005-03-16 17:57 . 2005-03-16 17:57        61440        ----a-w-        c:\program files\regsresen_US.dll
2005-03-13 12:10 . 2005-03-13 12:10        4096000        ----a-w-        c:\program files\PDFL70.dll
2005-03-13 11:01 . 2005-03-13 11:01        1805824        ----a-w-        c:\program files\AGM.dll
2005-03-10 19:31 . 2005-03-10 19:31        3715072        ----a-w-        c:\program files\MPS.dll
2005-03-09 03:32 . 2005-03-09 03:32        151552        ----a-w-        c:\program files\AXE8SharedExpat.dll
2005-03-09 03:32 . 2005-03-09 03:32        151552        ----a-w-        c:\program files\AXE16SharedExpat.dll
2005-03-09 03:17 . 2005-03-09 03:17        475136        ----a-w-        c:\program files\AdobeXMP.dll
2005-03-09 03:07 . 2005-03-09 03:07        630784        ----a-w-        c:\program files\ACE.dll
2005-03-09 03:07 . 2005-03-09 03:07        266240        ----a-w-        c:\program files\ARE.dll
2005-03-09 03:07 . 2005-03-09 03:07        217088        ----a-w-        c:\program files\BIBUtils.dll
2005-03-09 03:07 . 2005-03-09 03:07        2162688        ----a-w-        c:\program files\CoolType.dll
2005-03-09 03:07 . 2005-03-09 03:07        180224        ----a-w-        c:\program files\Bib.dll
2005-03-03 14:39 . 2005-03-03 14:39        425984        ----a-w-        c:\program files\AdobeUpdater.dll
2005-02-17 10:28 . 2005-02-17 10:28        663552        ----a-w-        c:\program files\FileInfo.dll
2005-02-15 01:03 . 2005-02-15 01:03        561152        ----a-w-        c:\program files\JP2KLib.dll
2005-02-10 12:36 . 2005-02-10 12:36        143360        ----a-w-        c:\program files\epic_eula.dll
2005-02-08 12:43 . 2005-02-08 12:43        49152        ----a-w-        c:\program files\persresen_US.dll
2005-02-08 12:43 . 2005-02-08 12:43        45056        ----a-w-        c:\program files\eularesen_US.dll
2005-02-07 07:45 . 2005-02-07 07:45        5632        ----a-w-        c:\program files\agldt28l.dll
2005-01-19 13:31 . 2005-01-19 13:31        155648        ----a-w-        c:\program files\epic_regs.dll
2005-01-18 11:31 . 2005-01-18 11:31        114688        ----a-w-        c:\program files\epic_pers.dll
2005-01-12 13:23 . 2005-01-12 13:23        180224        ----a-w-        c:\program files\pdfsettings.dll
2004-08-24 14:55 . 2004-08-24 14:55        126976        ----a-w-        c:\program files\asneu.dll
2004-06-22 11:57 . 2004-06-22 11:57        589824        ----a-w-        c:\program files\libagluc28.dll
2003-05-08 17:34 . 2003-05-08 17:34        499712        ----a-w-        c:\program files\msvcp71.dll
2003-05-08 17:32 . 2003-05-08 17:32        348160        ----a-w-        c:\program files\msvcr71.dll
2000-08-28 23:19 . 2000-08-28 23:19        401462        ----a-w-        c:\program files\MSVCP60.DLL
1999-12-03 05:01 . 1999-12-03 05:01        22800        ----a-w-        c:\program files\Shfolder.dll
1999-02-01 23:00 . 1999-02-01 23:00        266293        ----a-w-        c:\program files\Msvcrt.dll
2011-04-14 16:40 . 2011-04-30 19:53        142296        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
2010-08-26 00:31 . 2009-12-17 19:58        119808        ----a-w-        c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"Free Download Manager"="c:\program files\Free Download Manager\fdm.exe" [2010-04-28 3727411]
"RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2011-03-14 67456]
"AOL Fast Start"="c:\program files\AOL 9.0 VRa\AOL.EXE" [2007-06-21 50480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-26 30192]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-02 281768]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632]
"Eraser"="c:\progra~1\Eraser\Eraser.exe" [2010-04-10 979344]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-20 1451304]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOL Fast Start]
2007-06-21 14:11        50480        ----a-w-        c:\program files\AOL 9.0 VRa\aol.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dscactivate]
2008-03-11 10:44        16384        ----a-w-        c:\program files\Dell Support Center\gs_agent\custom\dsca.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Duden Korrektor SysTray]
2008-05-28 16:47        578264        ----a-w-        c:\program files\Duden\Duden Korrektor\DKTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Everything]
2009-03-13 01:18        602624        ----a-w-        c:\program files\Everything\Everything.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
2006-09-26 00:52        50736        ----a-w-        c:\program files\Common Files\aol\1236284668\ee\aolsoftware.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IPHider]
2010-02-26 09:39        1560576        ----a-w-        c:\program files\IP Hider\IP Hider.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryBooster]
2011-03-14 15:31        67456        ----a-w-        c:\program files\Uniblue\RegistryBooster\Launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2008-02-22 05:14        4907008        ----a-w-        c:\windows\RtHDVCpl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2003-10-14 09:22        155648        ----a-r-        c:\program files\Common Files\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2844749214-1552902267-2095849307-1000]
"EnableNotificationsRef"=dword:00000002
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-24 135664]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-01 1029456]
R2 PTK License-FIGHTERS-297811811;PTK License-FIGHTERS-297811811;c:\program files\Fighters\licenseservice.exe [x]
R2 PTK Live Update-FIGHTERS-297811811;PTK Live Update-FIGHTERS-297811811;c:\program files\Fighters\updateservice.exe [x]
R2 PTK Scanner-FIGHTERS-297811811;PTK Scanner-FIGHTERS-297811811;c:\program files\Fighters\ScannerService.exe [x]
R2 PTK SharedAccess-FIGHTERS-297811811;PTK SharedAccess-FIGHTERS-297811811;c:\program files\Fighters\configservice.exe [x]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-08-26 30192]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-24 135664]
R3 PrivacyProvider;PrivacyProvider;c:\windows\system32\PrivacyProvider.exe [2010-01-26 2740224]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2010-09-01 15544]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 Vfscan;Vfscan;c:\windows\system32\DRIVERS\vffilter.sys [2008-11-18 15496]
R3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-21 987648]
R3 VSTHWBS2;VSTHWBS2;c:\windows\system32\DRIVERS\VSTBS23.SYS [2008-01-21 251904]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-04-26 64160]
S2 AERTFilters;Andrea RT Filters Service;c:\windows\system32\AERTSrv.exe [2008-02-22 77824]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-21 21504]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 CGVPNCliSrvc;CyberGhost VPN Client;c:\program files\S.A.D\CyberGhost VPN\CGVPNCliService.exe [2010-07-28 2404488]
S2 Secunia PSI Agent;Secunia PSI Agent;c:\program files\Secunia\PSI\PSIA.exe [2011-01-05 988216]
S3 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2008-02-22 48472]
S3 O2SDRDR;O2SDRDR;c:\windows\system32\DRIVERS\o2sd.sys [2008-02-22 43480]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
getPlusHelper        REG_MULTI_SZ          getPlusHelper
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
Akamai        REG_MULTI_SZ          Akamai
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-24 16:16]
.
2011-05-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-24 16:16]
.
2010-07-04 c:\windows\Tasks\Install.job
- c:\windows\System32\Adobe\Shockwave 11\nssstub.exe [2010-06-14 23:23]
.
2011-05-19 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2011-03-14 15:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: &AOL Toolbar-Suche - c:\program files\aol\aol toolbar 4.0\resources\de-DE\local\search.html
IE: Alles mit FDM herunterladen - file://c:\program files\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\program files\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\program files\Free Download Manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\program files\Free Download Manager\dlfvideo.htm
LSP: c:\windows\system32\PrivacyProvider.dll
Trusted Zone: secunia.com\psi
FF - ProfilePath - c:\users\babsi01\AppData\Roaming\Mozilla\Firefox\Profiles\i0lowoeb.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - prefs.js: network.proxy.type - 4
FF - user.js: browser.search.selectedEngine - foxsearch
FF - user.js: browser.search.order.1 - foxsearch
FF - user.js: browser.search.defaultenginename - foxsearch
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-avast! - c:\progra~1\ALWILS~1\Avast4\ashDisp.exe
AddRemove-HP Imaging Device Functions - c:\program files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe
AddRemove-HP Smart Web Printing - c:\program files\HP\Digital Imaging\Smart Web Printing\hpzscr01.exe
AddRemove-HP Solution Center & Imaging Support Tools - c:\program files\HP\Digital Imaging\eSupport\hpzscr01.exe
AddRemove-HPExtendedCapabilities - c:\program files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe
AddRemove-HPOCR - c:\program files\HP\Digital Imaging\OCR\hpzscr01.exe
AddRemove-Shop for HP Supplies - c:\program files\HP\Digital Imaging\HPSSupply\hpzscr01.exe
AddRemove-Uniblue RegistryBooster - c:\programdata\{AB2D8F2E-F7AD-4446-A11A-50D846B2CF2A}\bm_installer.exe
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{AB2D8F2E-F7AD-4446-A11A-50D846B2CF2A}\bm_installer.exe
AddRemove-{15262012-213A-4f65-9019-C8A409EC0156} - c:\program files\HP\Digital Imaging\{15262012-213A-4f65-9019-C8A409EC0156}\setup\hpzscr01.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-20 01:09
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2844749214-1552902267-2095849307-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-2844749214-1552902267-2095849307-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
Zeit der Fertigstellung: 2011-05-20  01:16:25
ComboFix-quarantined-files.txt  2011-05-19 23:16
.
Vor Suchlauf: 19 Verzeichnis(se), 19.314.446.336 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 19.237.343.232 Bytes frei
.
- - End Of File - - 4843EF5C043DC02072A8AADF11521B90
--- --- ---

cosinus 20.05.2011 09:17
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:42 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130