Trojaner-Board - TR/Kay.mekml.1 & JAVA/Exdoer.BC

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Kay.mekml.1 & JAVA/Exdoer.BC (https://www.trojaner-board.de/98935-tr-kay-mekml-1-java-exdoer-bc.html)

TR/Kay.mekml.1 & JAVA/Exdoer.BC

hallo,
folgendes, ich bin durch google auf diese seite gestoßen.
und habe bereits gesehn, dass einigen hier beim gleichen problem geholfen wurde.
da ich allerdings kein held, was pc technik angehet bin, würde ich gern ein extra thema erstellen.
ich hoffe ihr habt dafür verständnis.

zum thema:
gestern gegen ~19uhr, ging mein pc plötlich nicht mehr.
ein paar desktop verknüpfungen waren weg. erstmal habe ich mir nichts dabei gedacht, ich habe den antivire laufen lassen. und es kammen zwei verdächtige meldungen.
ein mal "TR/Kazy.mekml.1", und ein mal " JAVA/Exdoer.BC".
danach habe ich den rechner neue gestartet. und da war plötslich nichts mehr da! :eek: :balla:

soooo, ich bitte so mit um hilfe. und bin für jede hilfe dankbar.

hiSystemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

häng das log doch einfach als datei an wenns zu groß ist :-)

endlich, danbke für die geduld. :rolleyes:

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-1960408961-1563985344-682003330-1004..\Run: [FEuLFLOIGw] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FEuLFLOIGw.exe (QNP)
O4 - HKU\S-1-5-21-1960408961-1563985344-682003330-1004..\Run: [trwKcwHFGPMgtX] File not found
O4 - HKU\.DEFAULT..\RunOnce: [com updater] File not found
O4 - HKU\S-1-5-18..\RunOnce: [com updater] File not found
O4 - HKU\S-1-5-19..\RunOnce: [com updater] File not found
O4 - HKU\S-1-5-20..\RunOnce: [com updater] File not found
O4 - HKU\S-1-5-21-1960408961-1563985344-682003330-1007..\RunOnce: [com updater] File not found
PRC - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FEuLFLOIGw.exe (QNP)
PRC - C:\Dokumente und Einstellungen\karina\Lokale Einstellungen\Anwendungsdaten\kel.exe (Microsoft Corporation)
O35 - HKU\S-1-5-21-1960408961-1563985344-682003330-1004..exefile [open] -- "C:\Dokumente und Einstellungen\karina\Lokale Einstellungen\Anwendungsdaten\kel.exe" -a "%1" %* (Microsoft Corporation)
O37 - HKU\S-1-5-21-1960408961-1563985344-682003330-1004\...exe [@ = exefile] -- "C:\Dokumente und Einstellungen\karina\Lokale Einstellungen\Anwendungsdaten\kel.exe" -a "%1" %* (Microsoft Corporation)

:Files
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FEuLFLOIGw.exe
C:\Dokumente und Einstellungen\karina\Lokale Einstellungen\Anwendungsdaten\kel.exe
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Code:

All processes killed

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-1960408961-1563985344-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run\\FEuLFLOIGw deleted successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FEuLFLOIGw.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-1960408961-1563985344-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run\\trwKcwHFGPMgtX deleted successfully.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\com updater deleted successfully.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\com updater not found.

Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\com updater deleted successfully.

Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\com updater deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1960408961-1563985344-682003330-1007\Software\Microsoft\Windows\CurrentVersion\RunOnce\\com updater deleted successfully.

No active process named FEuLFLOIGw.exe was found!

No active process named kel.exe was found!

Registry value HKEY_USERS\S-1-5-21-1960408961-1563985344-682003330-1004_Classes\exefile\shell\open\command\\'' updated successfully.

C:\Dokumente und Einstellungen\karina\Lokale Einstellungen\Anwendungsdaten\kel.exe moved successfully.

Registry key HKEY_USERS\S-1-5-21-1960408961-1563985344-682003330-1004_Classes\.exe\ deleted successfully.

Registry key HKEY_USERS\S-1-5-21-1960408961-1563985344-682003330-1004_Classes\exefile\ deleted successfully.

HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!

========== FILES ==========

File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FEuLFLOIGw.exe not found.

File\Folder C:\Dokumente und Einstellungen\karina\Lokale Einstellungen\Anwendungsdaten\kel.exe not found.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default User

 

User: karina

->Flash cache emptied: 29947 bytes

 

User: LocalService

->Flash cache emptied: 593 bytes

 

User: NetworkService

->Flash cache emptied: 6473 bytes

 

User: postgres

 

User: postgres.DELLHOME

 

User: postgres.DELLHOME.000

 

Total Flash Files Cleaned = 0,00 mb

 

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: karina

->Temp folder emptied: 134494995 bytes

->Temporary Internet Files folder emptied: 5421378 bytes

->Java cache emptied: 295973 bytes

->FireFox cache emptied: 64059696 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 1015255 bytes

->Flash cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 57461654 bytes

->Java cache emptied: 2802 bytes

->Flash cache emptied: 0 bytes

 

User: postgres

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: postgres.DELLHOME

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: postgres.DELLHOME.000

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2134333 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 382526 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 253,00 mb

 

 

OTL by OldTimer - Version 3.2.22.3 log created on 05112011_193246
 

Files\Folders moved on Reboot...

C:\WINDOWS\temp\5ebf8155 moved successfully.

C:\WINDOWS\temp\7ee22a21 moved successfully.
 

Registry entries deleted on Reboot...

der rest folgt...

ich bin nun bei punkt 2, ind der anleitung zum UploadChannel und da steht "1. Hier nun die verdächtige Datei suchen (es können auch mehrere gleichzeitig versendet werden!)".

wie erkenne ich jetzt welche datein verdächtig sind?

ich hab doch gesagt du sollst das archiv erstellen, also moved files packen, dann ist die verdächtige datei, moved files.rar oder zip.

mal eine frage.
muss ich noch was machen, oder wars das schon?
weil ich sehe, die datein sind in der mehrheit wieder zurück, aber jalt nicht alle.
und desktop ist immer noch leer.

wunderbar, danke.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Code:

ComboFix 11-05-11.01 - karina 11.05.2011  21:32:14.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.635 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\karina\Eigene Dateien\Downloads\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\plugs

c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\plugs\mmc101.exe

c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\plugs\mmc12138609.txt

c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\plugs\mmc12226562.txt

c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\shed

c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\shed\thr1.chm

c:\dokumente und einstellungen\karina\Anwendungsdaten\FunWebProducts

c:\dokumente und einstellungen\karina\Anwendungsdaten\FunWebProducts\Data\karina\avatar.dat

c:\dokumente und einstellungen\karina\Desktop\Windows Recovery.lnk

c:\dokumente und einstellungen\karina\Startmenü\Programme\Windows Recovery

c:\dokumente und einstellungen\karina\Startmenü\Programme\Windows Recovery\Uninstall Windows Recovery.lnk

c:\dokumente und einstellungen\karina\Startmenü\Programme\Windows Recovery\Windows Recovery.lnk

c:\programme\FunWebProducts

c:\programme\MyWebSearch

c:\programme\MyWebSearch\bar\History\search3

c:\programme\MyWebSearch\bar\Settings\s_pid.dat

c:\programme\MyWebSearch\bar\Settings\setting2.htm

c:\programme\MyWebSearch\bar\Settings\setting2.htm.bak

c:\programme\MyWebSearch\bar\Settings\settings.dat

c:\programme\MyWebSearch\bar\Settings\settings.dat.bak

c:\programme\pdfforge Toolbar\IE\4.3\pdFForgetoolbarie.dll

C:\recycle.bin

c:\recycle.bin\config.bin

c:\windows\Downloaded Program Files\f3initialsetup1.0.1.1.inf

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-04-11 bis 2011-05-11  ))))))))))))))))))))))))))))))

.

.

2011-05-11 17:32 . 2011-05-11 17:49        --------        d-----w-        C:\_OTL

2011-04-26 14:49 . 2011-04-26 14:57        --------        d-----w-        c:\dokumente und einstellungen\karina\Anwendungsdaten\FileZilla

2011-04-26 14:48 . 2011-04-26 14:57        --------        d-----w-        c:\programme\FileZilla FTP Client

2011-04-21 05:13 . 2011-04-21 05:13        --------        d-----w-        c:\dokumente und einstellungen\karina\Anwendungsdaten\pdfforge

2011-04-20 23:42 . 2011-04-20 23:43        --------        d-----w-        c:\dokumente und einstellungen\karina\Anwendungsdaten\Search Settings

2011-04-20 23:42 . 2011-04-20 23:42        --------        d-----w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\Application Updater

2011-04-20 23:42 . 2011-04-20 23:42        --------        d-----w-        c:\programme\Application Updater

2011-04-20 23:42 . 2011-04-20 23:42        --------        d-----w-        c:\programme\pdfforge Toolbar

2011-04-20 23:42 . 2011-04-20 23:42        --------        d-----w-        c:\programme\Gemeinsame Dateien\Spigot

2011-04-20 23:41 . 1998-06-23 22:00        137000        ----a-w-        c:\windows\system32\MSMAPI32.OCX

2011-04-20 23:41 . 2005-04-15 17:58        1071088        ----a-w-        c:\windows\system32\MSCOMCTL.OCX

2011-04-20 23:41 . 2004-03-08 22:00        662288        ----a-w-        c:\windows\system32\MSCOMCT2.OCX

2011-04-20 23:41 . 2001-10-28 14:42        116224        ----a-w-        c:\windows\system32\pdfcmnnt.dll

2011-04-20 23:40 . 1998-07-06 15:56        125712        ----a-w-        c:\windows\system32\VB6DE.DLL

2011-04-20 23:40 . 1998-07-06 15:55        158208        ----a-w-        c:\windows\system32\MSCMCDE.DLL

2011-04-20 23:40 . 1998-07-06 15:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL

2011-04-20 23:40 . 1998-07-05 22:00        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL

2011-04-20 23:40 . 2011-04-20 23:43        --------        d-----w-        c:\programme\PDFCreator

2011-04-20 23:26 . 2011-04-20 23:27        73728        ----a-w-        c:\windows\system32\javacpl.cpl

2011-04-19 09:33 . 2011-04-19 09:33        --------        d-----w-        c:\dokumente und einstellungen\karina\Anwendungsdaten\BabylonToolbar

2011-04-19 00:57 . 2011-04-19 00:57        --------        d-----w-        c:\dokumente und einstellungen\karina\Anwendungsdaten\Tonium

2011-04-19 00:56 . 2011-04-19 00:56        --------        d-----w-        c:\programme\BabylonToolbar

2011-04-17 23:44 . 2011-04-20 15:36        --------        d-----w-        c:\programme\TableScan Turbo

2011-04-13 18:00 . 2011-04-13 18:00        --------        d-----w-        c:\dokumente und einstellungen\karina\Anwendungsdaten\Roaming

2011-04-13 15:12 . 2011-04-13 15:12        --------        d-----w-        c:\dokumente und einstellungen\karina\Anwendungsdaten\HEM Data

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-04-20 23:27 . 2010-09-27 07:22        472808        ----a-w-        c:\windows\system32\deployJava1.dll

2011-03-18 15:53 . 2011-03-06 01:21        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-03-07 05:33 . 2010-01-29 22:40        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-03-04 06:36 . 2004-08-04 11:00        420864        ----a-w-        c:\windows\system32\vbscript.dll

2011-03-03 13:53 . 2004-08-04 11:00        1858048        ----a-w-        c:\windows\system32\win32k.sys

2011-02-22 23:05 . 2004-08-04 11:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2011-02-22 23:05 . 2004-08-04 11:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2011-02-22 23:05 . 2004-08-04 11:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2011-02-22 11:41 . 2004-08-04 11:00        385024        ----a-w-        c:\windows\system32\html.iec

2011-02-17 13:18 . 2004-08-04 11:00        455936        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2011-02-17 13:18 . 2004-08-04 11:00        357888        ----a-w-        c:\windows\system32\drivers\srv.sys

2011-02-17 12:54 . 2008-05-05 06:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll

2011-02-15 12:56 . 2004-08-04 11:00        290432        ----a-w-        c:\windows\system32\atmfd.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-01-26 15026056]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]

"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]

"lxbkbmgr.exe"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

"BabylonToolbar"="c:\programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2011-01-28 526336]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\lxbkcoms.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

"3389:TCP"= 3389:TCP:Remote Desktop

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.03.2011 03:21 136360]

R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [28.01.2011 17:10 387072]

R2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe -service --> c:\windows\system32\lxbkcoms.exe -service [?]

R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" --> c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 [?]

R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]

R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S2 postgresql-8.4;PostgreSQL Server 8.4;C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "C:/Programme/PostgreSQL/8.4/data" -w --> C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N postgresql-8.4 [?]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://start.icq.com/

mStart Page = hxxp://www.google.com

FF - ProfilePath - c:\dokumente und einstellungen\karina\Anwendungsdaten\Mozilla\Firefox\Profiles\m7chc038.default\

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=20ab37800000000000000007e94e7ee8&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}

FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff

FF - user.js: yahoo.homepage.dontask - true

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-nwiz - nwiz.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-05-11 21:37

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]

"ImagePath"="C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Programme/PostgreSQL/8.4/data\" -w"

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]

"ImagePath"="C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Programme/PostgreSQL/8.4/data\" -w"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*]

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

.

Zeit der Fertigstellung: 2011-05-11  21:40:03

ComboFix-quarantined-files.txt  2011-05-11 19:39

.

Vor Suchlauf: 1.881.931.776 Bytes frei

Nach Suchlauf: 1.935.314.944 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - 0AB25C3E48FA376D04FAB03161BBE3DD

hi, das was ich hier sehe gefällt mir nicht.
betreibst du onlinebanking einkäufe oder sonst was wichtiges?

nein warum???? ich habe nur mit paysave mal auf einer pokerplatform eingezahlt. sonst nichts warum?
auf der seit, auf der ich regelmäßig poker spiele, hab ich schon am selben tag speren lassen.
auf der pokerplatform, sind auch meine kontakt daten gespeichert, also zb. adresse, PLZ usw. aber keine bank daten.

....ich hab mal bei Amazon.de und bücher.de, ein konto über denn ich mal was bestellt habe, aber da habe ich mir eine rachnung schicken lassen.

ich werde mal gleich da anrufen und auch sperren lassen.

du hast einen spyeye trojan.
da man nicht 100 %ig garantieen kann, das wir das system sauber bekommen:
- daten sichern. sichere dokumente bilder (privates) instalationsdateien.
ssichere keine keygens etc.
- windows neu aufsetzen.
- dann zeige ich dir, falls du willst, wie man das system gut schützt.
- passwörter auf dem neuen system endern

so bei Amazon.de und Bücher.de, beide sperren lassen.
ich kann mir sonst nichts vorstellen.

was siehst du da?

boa, hab gerade ein scheis gefül!
tut mir leid für meine wort wal.

ok,

ich muss dann mal auf einen kumpel warten. ich hab keine externe festplate.

ohh man, muss auch erstmal windows cd finden.
und melde mich dann wieder wenns soweit ist, kann etwas länger dauern, da mein kumpel an der uni ist bis 19uhr.
also könnte sein das ich mich erst morgen bzw, am wochenend erst melde.

das wäre sehr sehr nett von dir, wenn du mir beibringen könntest, mein pc besser zu schutzen.

was ist "keygens"?

vielen dank für die große mühe!

hi, mit keygens kann man lizenz schlüssel generieren und damit software illegal freischalten.
du solltest dir ne eigene externe platte besorgen, es ist immer gut ne sicherung seiner privaten daten zu haben.
ich sehe auf deinem pc den spyeye trojaner. unteranderem.

so, ich muss dann erst mal, den widows system betrieb kaufen. finde meine alte nicht. melde mich dann wenns soweit ist.

gruß
levan

so da bin ich wieder, tut mir leid dass das so lange gedauert hat.
ich hab jetzt endlich alles neue instaliert.

hey Markus, du hast mir angeboten gehabt, mir zu zeigen wie ich meine pc besser schützen kann. das würde ich jetzt gern beigebracht bekommen.

Zitat:

Zitat von markusg (Beitrag 656792)

- dann zeige ich dir, falls du willst, wie man das system gut schützt.

gruß
levan

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter xp /und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
http://www.trojaner-board.de/127580-...igurieren.html
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.