Trojaner-Board - Trojaner silentbanker

Trojaner-Board (https://www.trojaner-board.de/)

- Mülltonne (https://www.trojaner-board.de/muelltonne/)

- - Trojaner silentbanker (https://www.trojaner-board.de/65508-trojaner-silentbanker.html)

Trojaner silentbanker

Hi,

wer kann hier helfen?

ComboFix - Logfile

ComboFix 08-11-29.03 - Administrator 2008-11-30 15:16:51.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\BReWErS.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 ))))))))))))))))))))))))))))))
.

2008-11-30 11:23 . 2008-11-30 14:46 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-30 11:23 . 2008-11-30 11:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-30 11:23 . 2008-11-30 11:23 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-30 11:15 . 2008-11-30 11:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TeamViewer
2008-11-06 11:10 . 2005-10-28 04:38 402,432 -ra------ c:\windows\system32\drivers\ZD1211BU.sys
2008-11-06 09:00 . 2008-11-06 09:00 <DIR> d--hs---- c:\windows\ftpcache
2008-11-06 08:57 . 2007-05-16 16:45 3,497,832 --a------ c:\windows\system32\d3dx9_34.dll
2008-11-06 08:57 . 2007-05-16 16:45 1,124,720 --a------ c:\windows\system32\D3DCompiler_34.dll
2008-11-06 08:57 . 2007-03-12 16:42 1,123,696 --a------ c:\windows\system32\D3DCompiler_33.dll
2008-11-06 08:57 . 2007-05-16 16:45 443,752 --a------ c:\windows\system32\d3dx10_34.dll
2008-11-06 08:57 . 2007-03-15 16:57 443,752 --a------ c:\windows\system32\d3dx10_33.dll
2008-11-06 08:57 . 2007-05-31 19:30 266,088 --a------ c:\windows\system32\xactengine2_8.dll
2008-11-06 08:57 . 2007-04-04 18:55 261,480 --a------ c:\windows\system32\xactengine2_7.dll
2008-11-06 08:57 . 2007-04-04 18:53 81,768 --a------ c:\windows\system32\xinput1_3.dll
2008-11-06 08:57 . 2007-05-31 19:29 18,280 --a------ c:\windows\system32\x3daudio1_2.dll
2008-11-06 08:46 . 2008-11-06 08:46 311 --a------ c:\windows\game.ini
2008-11-06 08:33 . 2008-11-06 08:33 <DIR> d-------- c:\programme\Activision
2008-11-05 10:04 . 2008-11-05 10:04 306,432 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-11-05 10:04 . 2007-12-20 10:41 29,440 --a------ c:\windows\system32\uxtuneup.dll
2008-11-05 10:03 . 2008-11-05 10:04 <DIR> d-------- c:\programme\TuneUp Utilities 2008
2008-11-05 10:03 . 2008-11-05 10:03 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-05 10:03 . 2008-11-05 10:03 <DIR> d-------- c:\programme\CCleaner
2008-10-21 10:07 . 2008-10-21 10:07 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 13:46 --------- d-----w c:\programme\Mozilla Thunderbird
2008-11-30 01:02 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2008-11-06 07:46 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-05 09:06 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-05 08:58 --------- d-----w c:\programme\Google
2008-11-05 08:56 --------- d-----w c:\programme\XPcleanv5
2008-11-05 08:55 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-05 08:55 --------- d-----w c:\programme\Drive Image 2002
2008-11-05 08:55 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-05 08:54 --------- d-----w c:\programme\CyberLink
2008-11-05 08:52 --------- d-----w c:\programme\IrfanView
2008-11-05 08:50 --------- d-----w c:\programme\SlySoft
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2(2).dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-12 7626752]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-06-01 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"ICQ"="c:\programme\ICQ6\ICQ.exe" silent
"EPSON Stylus Photo R265 Series"=c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBNE.EXE /FU "c:\windows\TEMP\E_S83.tmp" /EF "HKCU"
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=c:\programme\Winamp\winampa.exe
"SkyTel"=SkyTel.EXE
"RTHDCPL"=RTHDCPL.EXE
"Alcmtr"=ALCMTR.EXE
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-21 15:09]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ln6g6s2g.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 15:17:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\sfc_os.dll
.
Zeit der Fertigstellung: 2008-11-30 15:18:51
ComboFix-quarantined-files.txt 2008-11-30 14:18:23
ComboFix2.txt 2008-11-30 13:43:28
ComboFix3.txt 2008-11-30 13:36:59

Vor Suchlauf: 8 Verzeichnis(se), 13.351.485.440 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 13,345,017,856 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

119

und hier hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:28:24, on 30.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://notifier.avira.com/stats.php?id_not=18&url=https%3A%2F%2Fwww.cleverbridge.com%2F30%2Fcookie%3Fx%2Dorigin%3Dnotifier%26x%2Dnotifier%3DSHADOWMA_DE%26expiry%3D28%26redirect to%3Dhttps%253A%252F%252Favira.cleverbridge.com%252F30%252F%253Fscope%253Dcheckout%2526cart%253D13929%2526language%253Dde%2526x%252Dorigin%253Dnotifie r%2526x%252Dnotifier%253DSHADOWMA_DE%2526enablecoupon%253Dfalse
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4689 bytes