Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner/kazy.mekml.1 - Befall (https://www.trojaner-board.de/99119-trojaner-kazy-mekml-1-befall.html)

cosinus 26.05.2011 19:20
Was soll das werden? In CF ist bestimmt kein Trojaner!

rashmon 30.05.2011 15:06
Ich schwöre. Beim letzten Mal kam da eine Virusmeldung.
Jetzt habe ich meinen Virenscanner kurzzeitig deaktiviert und es nochmals probiert mit der Installation von cofi.exe.

Es hat geklappt.
Während dem Durchlauf kamen andauernd Meldungen von meinem Virenprogramm, wo es hieß es wird empfohlen die Datei in der Sandbox zu öffnen. Ich habe dann einfach immer OK. gedrückt.
Hätte ich das nicht machen sollen?

Nach ca. der 24. Stufe des Durchlaufs hat mein PC plötzlich einen Neustart gemacht und jetzt sind alle Dateien und sogar Mozilla Frefox wieder da, aber
ein Bericht kam keiner, auf dem Pfad C:\ComboFix.txt. ist auch nichts.

Was soll ich jetzt machen? War der Durchlauf schon fertig, oder?

Danke für die Hilfe.

cosinus 30.05.2011 15:55
Zitat:
Ich schwöre. Beim letzten Mal kam da eine Virusmeldung.
Da muss man nicht gleich voll krass schwören :D
Wenn in CF ein Trojaner gemeldet wird ist das ein Fehlalarm. Das ist auch ein Grund warum du den Virenscanner abstellen sollst, bevor CF ausgeführt

Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal.

rashmon 07.06.2011 09:55
Tut mir Leid, dass ich nicht geschrieben habe, aber es funktioniert einfach nicht.
Es wird einfach keine LOG-DAtei geöffnet.
Hat es vielleicht mit der Sandbox zu tun?

cosinus 07.06.2011 11:21
Was für ne Sandbox? Führst du CF in einer Sandbox aus? :wtf:
Virenscanner abgestellt?

rashmon 24.06.2011 21:36
Gut, jetzt hat es geklappt.
Ist da hier richtig?
Combofix Logfile:
Code:
ComboFix 11-06-24.02 - *** 24.06.2011  21:58:20.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.322 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: ESET NOD32 Antivirus 4.2 *Disabled/Outdated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\***\WINDOWS
c:\dokumente und einstellungen\***\WINDOWS
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-05-24 bis 2011-06-24  ))))))))))))))))))))))))))))))
.
.
2011-06-06 20:22 . 2011-06-06 20:22        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2011-06-06 20:22 . 2011-06-06 20:21        472808        ----a-w-        c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-06-06 20:22 . 2011-06-06 20:21        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2011-06-06 20:22 . 2011-06-06 20:21        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-05-30 15:31 . 2011-06-04 18:57        --------        d-----w-        c:\programme\So
2011-05-30 14:41 . 2007-06-27 12:42        207488        ----a-r-        c:\windows\system32\drivers\vinyl97.sys
2011-05-30 14:40 . 2007-04-11 13:35        331184        ------w-        c:\windows\system32\difxapi.dll
2011-05-30 14:16 . 2011-05-30 14:16        --------        d-----w-        c:\dokumente und einstellungen\***\dwhelper
2011-05-28 06:49 . 2011-06-15 15:49        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-03-24 13:08        39984        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-20 19:20 . 2011-05-20 19:20        23456        ----a-w-        c:\windows\system32\drivers\DrvAgent32.sys
2011-05-20 18:59 . 2011-05-20 18:39        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-10 12:10 . 2011-05-24 09:43        40112        ----a-w-        c:\windows\avastSS.scr
2011-05-10 12:10 . 2011-05-24 09:43        199304        ----a-w-        c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2011-05-24 09:43        441176        ----a-w-        c:\windows\system32\drivers\aswSnx.sys
2011-05-10 12:03 . 2011-05-24 09:44        307928        ----a-w-        c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2011-05-24 09:43        49240        ----a-w-        c:\windows\system32\drivers\aswTdi.sys
2011-05-10 12:02 . 2011-05-24 09:43        102616        ----a-w-        c:\windows\system32\drivers\aswmon2.sys
2011-05-10 12:02 . 2011-05-24 09:43        96344        ----a-w-        c:\windows\system32\drivers\aswmon.sys
2011-05-10 11:59 . 2011-05-24 09:44        25432        ----a-w-        c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2011-05-24 09:43        30808        ----a-w-        c:\windows\system32\drivers\aavmker4.sys
2011-05-10 11:59 . 2011-05-24 09:44        19544        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys
2011-03-27 15:15 . 2011-03-27 15:14        1042970        ---ha-w-        c:\windows\system32\PerfStringBackup.TMP
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10        122512        ----a-w-        c:\programme\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883840]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-12-27 185896]
"AudioDeck"="c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"avast"="c:\programme\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\Family\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Dokumente und Einstellungen\\Family\\Eigene Dateien\\realplay.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [24.05.2011 11:43 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24.05.2011 11:44 307928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24.05.2011 11:44 19544]
S2 ekrn;ESET Service;"c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe" --> c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.05.2011 11:44 136176]
S3 DrvAgent32;DrvAgent32;c:\windows\system32\drivers\DrvAgent32.sys [20.05.2011 21:20 23456]
S3 QCEmerald;Logitech QuickCam Web;c:\windows\system32\drivers\OVCE.sys [15.08.2008 00:18 31872]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\h:\ntglm7x.sys --> h:\NTGLM7X.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-05-24 09:44]
.
2011-06-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-05-24 09:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com
mStart Page = hxxp://de.yahoo.com
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\q9xysdnv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: avast! WebRep: wrc@avast.com - c:\programme\AVAST Software\Avast\WebRep\FF
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-24 22:19
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  AudioDeck = c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Philips]
@DACL=(02 0000)
.
Zeit der Fertigstellung: 2011-06-24  22:23:02
ComboFix-quarantined-files.txt  2011-06-24 20:22
.
Vor Suchlauf: 8 Verzeichnis(se), 42.789.789.696 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 46.856.183.808 Bytes frei
.
- - End Of File - - EDFB7E121198FBBF13978C99768314E6
--- --- ---

cosinus 24.06.2011 21:49
Zitat:
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: ESET NOD32 Antivirus 4.2 *Disabled/Outdated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
Sagmal!! Drei Virenscanner, sind die alle noch installiert oder sieht CF da müllige Reste??

rashmon 26.06.2011 16:04
Hi, ich habe jetzt alle deinstalliert und mir norton installiert.

Danke für die Hilfe.

cosinus 26.06.2011 16:06
Naja, Norton solltest du jetzt nicht installieren :balla:
Mach bitte ein neues OTL-CustomLog.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:44 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55