Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   trojaner an bord! online-banking gesperrt (https://www.trojaner-board.de/101142-trojaner-bord-online-banking-gesperrt.html)

Betroffen007 09.07.2011 08:47
trojaner an bord! online-banking gesperrt
 
Ich habe ein Schreiben meiner Bank erhalten, dass meine Pin durch einen Trojaner ausgespäht wurde.

Nun habe ich alle möglichen Tools angewendet.

A-VIRUS
MALEWAREBYTES
TROJAN REMOVER

Es wurde NICHTS gefunden..:pfeiff:


Ich bin auch recht umsichtig im Netz unterwegs.

Woher weiß die Bank das ich einen Trojaner an Board habe ?
Hat sie auf meinem Rechner nachgeschaut ?:daumenrunter:

markusg 09.07.2011 11:21
nein, aber sie sehen von welchem system abbuchungen bzw zugriffe statt finden.
und beobachten das gott sei dank sehr genau.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Betroffen007 09.07.2011 12:06
Sind beides riesige Texte.... ich sehe da auch vieles persönliche...

Kann man da nicht das wichtigste rausfiltern`?

markusg 09.07.2011 16:22
ja, rausfiltern kann ichs wenn ich gesehen hab was drinnen steht.
es gibt in den otl reports keine infos die auf dich schließen lassen, über die funktion suchen und ersetzen kannst du deinen namen durch xxx oder so ersetzen
geht über bearbeiten.

Betroffen007 09.07.2011 16:46
:dankeschoen:

Betroffen007 10.07.2011 11:26
Hier bitte als zip Anhang. :heilig:

Betroffen007 11.07.2011 08:51
Wer hilft mir :heulen:

Schubs"

markusg 11.07.2011 11:38
wir haben auch ein wochenende, und ein privat leben...
bitte erstelle und poste ein combofix log.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

Betroffen007 11.07.2011 16:07
Danke schonmal vorab.

Ich habe nun ComboFix.Exe laufen lassen.
Allerdings ohne Wiederherstellungskonsole.
Es wurde einiges rausgelöscht.

Soll ich nun erneut einen Logfile zusenden.?

Bank teilte mit das es der "Torpig" sein soll-.

Diesen habe ich aber bislang nicht gefunden.

Es werden offensichtlich mit meinem geklauten Daten Angriffe auf mein Konto von einem Fremdrechner gefahren:wtf:

Betroffen007 11.07.2011 16:12
Ich lasse GMER nochmal drüberlaufen.

markusg 11.07.2011 19:38
nein, du sollst das machen was hier steht.
wo ist das combofix log.
anstelle irgendwas anderfes zu machen, lies bitte richtig und mache das was hier steht.
nutze keine andern programme, vor allem dann nicht wenn du mir nicht mitteilst was gefunden wurde, wie soll man sonst ne vernünftige analyse machen?

Betroffen007 11.07.2011 22:39
Habe nun so einiges ausprobiert.

Mit den Rootkit tools finde ich mich nicht zurecht.

Das Rootkit von Windows: meldet immer cmd.exe kann nicht gefunden werden.
CMD.exe ist aber im system32 Verzeichniss.
Die Datei selber habe ich dann noch prüfen lassen, alles in Ordnung.

Hier nun der Log File wie gewünscht.

Grüsse - Danke :party: Oli.

Betroffen007 11.07.2011 22:47
Ist im Anhang :confused:

Betroffen007 11.07.2011 23:52
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ST3250410AS rev.3.AAC -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Betroffen007 12.07.2011 11:42
AVG Anti Rootkit hat folgende hidden files unter Windows/system32/drivers entdeckt.

xcpip.sys
xpsec.sys
a739rm6r.sys

Betroffen007 12.07.2011 14:05
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\axtdqpod.sys,Hidden driver file
C:\WINDOWS\system32\drivers\xcpip.sys,Hidden driver file
C:\WINDOWS\system32\drivers\xpsec.sys,Hidden driver file
C:\WINDOWS\System32\Drivers\a739rm6r.SYS,Hidden driver file

:killpc:

Betroffen007 12.07.2011 18:02
Hat nochmal jemand drübergeguckt?

markusg 13.07.2011 12:13
nö, warum sollte ichauch.
1. postest du nicht die geforderten logs....
2. nutzt du tools die ich nicht angefordert hab.

Betroffen007 13.07.2011 20:32
Zitat:
Zitat von markusg (Beitrag 682267)
nö, warum sollte ichauch.
1. postest du nicht die geforderten logs....
2. nutzt du tools die ich nicht angefordert hab.
Den Log habe ich Dir gepostet.

Siehe oben.

http://www.trojaner-board.de/101142-...tml#post681768

Irgendwas muss ich ja unternehmen.

Von Dir gibt es ja keine Antwort.

Betroffen007 14.07.2011 07:36
So heute habe ich npchmal einen Combo Fix Logfile erstellt.
Combofix Logfile:
Code:
ComboFix 11-07-11.01 - Oliver 14.07.2011  8:09.4.2 - x86
Microsoft Windows XP Professional 
 * Neuer Wiederherstellungspunkt wurde erstellt
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokume~1\Oliver\LOKALE~1\Temp\Adobelm_Cleanup.0001.dir.0002\~de7b92.tmp
c:\dokume~1\Oliver\LOKALE~1\Temp\Adobelm_Cleanup.0001.dir.0002\~df394b.tmp
c:\dokume~1\Oliver\LOKALE~1\Temp\Adobelm_Cleanup.0001.dir.0003\~df394b.tmp
c:\dokumente und einstellungen\Oliver\Lokale Einstellungen\temp\Adobelm_Cleanup.0001.dir.0002\~de7b92.tmp
c:\dokumente und einstellungen\Oliver\Lokale Einstellungen\temp\Adobelm_Cleanup.0001.dir.0002\~df394b.tmp
c:\dokumente und einstellungen\Oliver\Lokale Einstellungen\temp\Adobelm_Cleanup.0001.dir.0003\~df394b.tmp
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-06-14 bis 2011-07-14  ))))))))))))))))))))))))))))))
.
.
2011-07-12 18:26 . 2011-07-12 18:26        --------        d-----w-        c:\programme\Sophos
2011-07-12 10:09 . 2007-01-18 12:00        3968        ----a-w-        c:\windows\system32\drivers\AvgArCln.sys
2011-07-11 14:25 . 2011-07-11 14:25        --------        d-----w-        c:\programme\xp-AntiSpy
2011-07-11 14:15 . 2009-06-16 14:36        81920        -c----w-        c:\windows\system32\dllcache\fontsub.dll
2011-07-11 14:15 . 2009-06-16 14:36        119808        -c----w-        c:\windows\system32\dllcache\t2embed.dll
2011-07-11 14:14 . 2009-06-03 19:09        1296896        -c----w-        c:\windows\system32\dllcache\quartz.dll
2011-07-11 14:14 . 2009-04-15 14:51        585216        -c----w-        c:\windows\system32\dllcache\rpcrt4.dll
2011-07-11 14:13 . 2009-04-19 19:46        1847296        -c----w-        c:\windows\system32\dllcache\win32k.sys
2011-07-11 14:13 . 2009-05-07 15:32        348160        -c----w-        c:\windows\system32\dllcache\localspl.dll
2011-07-11 14:12 . 2009-05-21 18:47        268288        -c----w-        c:\windows\system32\dllcache\httpext.dll
2011-07-11 14:12 . 2009-04-29 04:42        52224        -c----w-        c:\windows\system32\dllcache\msfeedsbs.dll
2011-07-11 14:12 . 2009-04-29 04:42        459264        -c----w-        c:\windows\system32\dllcache\msfeeds.dll
2011-07-11 14:12 . 2009-04-29 04:41        6066176        -c----w-        c:\windows\system32\dllcache\ieframe.dll
2011-07-11 14:12 . 2009-04-29 04:41        268288        -c----w-        c:\windows\system32\dllcache\iertutil.dll
2011-07-11 14:12 . 2009-04-29 04:41        383488        -c----w-        c:\windows\system32\dllcache\ieapfltr.dll
2011-07-11 14:12 . 2009-04-29 04:41        63488        -c----w-        c:\windows\system32\dllcache\icardie.dll
2011-07-11 14:12 . 2009-04-28 09:05        13824        -c----w-        c:\windows\system32\dllcache\ieudinit.exe
2011-07-11 14:12 . 2008-07-09 14:25        2455488        -c----w-        c:\windows\system32\dllcache\ieapfltr.dat
2011-07-11 14:11 . 2009-03-21 14:06        1063424        -c----w-        c:\windows\system32\dllcache\kernel32.dll
2011-07-11 14:11 . 2009-02-03 19:57        56832        -c----w-        c:\windows\system32\dllcache\secur32.dll
2011-07-11 14:11 . 2008-12-16 12:30        354304        -c----w-        c:\windows\system32\dllcache\winhttp.dll
2011-07-11 14:09 . 2008-06-12 17:50        428032        -c----w-        c:\windows\system32\dllcache\msdtcprx.dll
2011-07-11 14:09 . 2008-06-12 14:20        956928        -c----w-        c:\windows\system32\dllcache\msdtctm.dll
2011-07-11 14:09 . 2008-06-12 14:20        91648        -c----w-        c:\windows\system32\dllcache\mtxoci.dll
2011-07-11 14:09 . 2008-06-12 14:20        66560        -c----w-        c:\windows\system32\dllcache\mtxclu.dll
2011-07-11 14:09 . 2008-06-12 14:20        58880        -c----w-        c:\windows\system32\dllcache\msdtclog.dll
2011-07-11 14:09 . 2008-06-12 14:20        161792        -c----w-        c:\windows\system32\dllcache\msdtcuiu.dll
2011-07-11 14:09 . 2008-05-05 05:25        3072        ------w-        c:\windows\system32\xpsp4res.dll
2011-07-11 14:09 . 2008-04-21 21:13        217600        -c----w-        c:\windows\system32\dllcache\wordpad.exe
2011-07-11 14:09 . 2008-12-05 06:55        144896        -c----w-        c:\windows\system32\dllcache\schannel.dll
2011-07-11 14:08 . 2008-12-11 10:57        333952        -c----w-        c:\windows\system32\dllcache\srv.sys
2011-07-11 14:07 . 2008-10-23 12:36        286720        -c----w-        c:\windows\system32\dllcache\gdi32.dll
2011-07-11 14:07 . 2008-09-04 17:15        1106944        -c----w-        c:\windows\system32\dllcache\msxml3.dll
2011-07-11 14:06 . 2008-10-24 11:21        455296        -c----w-        c:\windows\system32\dllcache\mrxsmb.sys
2011-07-11 14:06 . 2008-10-15 16:35        337408        -c----w-        c:\windows\system32\dllcache\netapi32.dll
2011-07-11 14:06 . 2008-06-14 17:32        273024        -c----w-        c:\windows\system32\dllcache\bthport.sys
2011-07-11 14:05 . 2008-08-28 07:46        74752        -c----w-        c:\windows\system32\dllcache\msw3prt.dll
2011-07-11 14:05 . 2008-08-28 07:46        104960        -c----w-        c:\windows\system32\dllcache\win32spl.dll
2011-07-11 14:04 . 2008-07-07 20:26        253952        -c----w-        c:\windows\system32\dllcache\es.dll
2011-07-11 14:03 . 2008-04-11 19:04        691712        -c----w-        c:\windows\system32\dllcache\inetcomm.dll
2011-07-11 14:03 . 2008-06-24 16:42        74240        -c----w-        c:\windows\system32\dllcache\mscms.dll
2011-07-11 14:02 . 2008-08-14 10:04        138496        -c----w-        c:\windows\system32\dllcache\afd.sys
2011-07-11 14:02 . 2008-06-20 17:46        247296        -c----w-        c:\windows\system32\dllcache\mswsock.dll
2011-07-11 14:02 . 2008-06-20 17:46        147968        -c----w-        c:\windows\system32\dllcache\dnsapi.dll
2011-07-11 14:02 . 2008-06-20 11:51        361600        -c----w-        c:\windows\system32\dllcache\tcpip.sys
2011-07-11 14:02 . 2008-06-20 11:08        225856        -c----w-        c:\windows\system32\dllcache\tcpip6.sys
2011-07-11 14:01 . 2008-05-08 14:02        203136        -c----w-        c:\windows\system32\dllcache\rmcast.sys
2011-07-11 12:05 . 2008-04-14 05:52        9216        ------w-        c:\windows\system32\dot3dlg.dll
2011-07-11 12:03 . 2007-08-13 16:54        33792        -c--a-w-        c:\windows\system32\dllcache\custsat.dll
2011-07-11 12:03 . 2008-04-14 05:52        286720        -c----w-        c:\windows\system32\dllcache\blackbox.dll
2011-07-11 12:03 . 2008-04-14 05:52        159232        -c----w-        c:\windows\system32\dllcache\cewmdm.dll
2011-07-11 12:03 . 2006-11-03 08:54        8192        -c----w-        c:\windows\system32\dllcache\asferror.dll
2011-07-11 12:01 . 2008-04-13 22:10        10240        ------w-        c:\windows\system32\drivers\sffp_mmc.sys
2011-07-11 12:00 . 2006-12-28 22:31        19569        ----a-w-        c:\windows\003321_.tmp
2011-07-09 08:51 . 2011-07-09 08:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-07-09 08:51 . 2011-07-11 11:41        --------        d-----w-        c:\programme\SUPERAntiSpyware
2011-06-28 22:05 . 2011-06-28 23:26        --------        d-----w-        c:\programme\cdex_151
2011-06-25 15:13 . 2011-06-25 15:13        --------        d-----w-        c:\programme\CardRecovery
2011-06-18 11:37 . 2011-06-18 11:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2011-06-17 08:10 . 2011-06-17 08:10        --------        d-----w-        c:\dokumente und einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\Flickr
2011-06-17 08:10 . 2011-06-17 08:10        --------        d-----w-        c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Flickr
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2009-12-15 11:23        39984        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2009-12-15 11:23        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-05-20 14:45 . 2011-05-20 14:45        1409        ----a-w-        c:\windows\QTFont.for
2011-05-18 08:49 . 2011-05-18 08:49        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-04 02:52 . 2010-06-29 14:52        472808        ----a-w-        c:\windows\system32\deployJava1.dll
2011-05-04 00:25 . 2010-06-29 14:52        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2011-06-16 04:32 . 2011-06-18 16:19        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
2008-04-14 05:52        60416        --sha-w-        c:\windows\ServicePackFiles\i386\msimn.exe
.
.
(((((((((((((((((((((((((((((  SnapShot_2011-07-11_20.35.04  )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-14 06:17 . 2011-07-14 06:17        16384              c:\windows\Temp\Perflib_Perfdata_5dc.dat
+ 2007-01-31 13:33 . 2007-01-31 13:33        5632              c:\windows\system32\drivers\avgarkt.sys
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"FoneSyncSystemTray"="c:\programme\FoneSync 4.0\FoneSyncSystemTray.Exe" [2000-06-27 40960]
"gStart"="c:\programme\Garmin\gStart.exe" [2008-08-13 1891416]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-03-30 25263144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"COMODO Internet Security"="c:\programme\COMODO\COMODO Internet Security\cfp.exe" [2010-06-01 2039240]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"UIExec"="c:\programme\Join Air\UIExec.exe" [2010-04-27 138072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
COMODO Firewall Pro.lnk - c:\programme\Comodo\Firewall\cpf.exe [N/A]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TauVPN.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TauVPN.lnk
backup=c:\windows\pss\TauVPN.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-04-26 23:22        421160        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"gupdatem"=3 (0x3)
"gupdate"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FRITZ!\\FriFax32.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [21.12.2007 19:14 39472]
R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [03.06.2003 16:52 123957]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05.03.2009 20:39 717296]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [04.06.2010 11:55 229312]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [01.06.2010 19:00 25240]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [03.06.2003 16:52 46900]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [26.11.2007 23:40 40928]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [26.11.2007 23:40 27776]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.11.2009 23:02 108289]
R2 ATTSCAP;AVerMedia, WDM MPEG-2 TS Capture (DVBT);c:\windows\system32\drivers\attscap.sys [09.11.2007 20:05 18048]
R2 ATVCAP;AVerMedia, DVB-T WDM Video Capture;c:\windows\system32\drivers\atvcap.sys [09.11.2007 20:06 56320]
R2 ATXBAR;AVerMedia, DVB-T WDM Crossbar;c:\windows\system32\drivers\atxbar.sys [09.11.2007 20:07 8576]
R2 nlsX86cc;Nalpeiron Licensing Service;c:\windows\system32\nlssrv32.exe [25.03.2010 17:49 57344]
R2 P1C1394;Phase One 1394 Camera Driver;c:\windows\system32\drivers\p1c1394.sys [09.11.2007 03:29 23168]
R2 UI Assistant Service;UI Assistant Service;c:\programme\Join Air\AssistantServices.exe [30.08.2010 13:56 247152]
R3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [10.11.2007 12:18 11520]
R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [08.11.2007 14:10 38656]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [30.08.2010 13:56 9216]
S3 rkhdrv40;Rootkit Unhooker Driver; [x]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [01.10.2006 14:37 26624]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [14.01.2011 09:12 136176]
S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [14.01.2011 09:12 136176]
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cc234420a59e98.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-14 07:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2431245
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Mozilla\Firefox\Profiles\hus0jcdz.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.shareware-d.com/de/index.php?rvs=hompag
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-07-14 08:18
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(968)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
- - - - - - - > 'explorer.exe'(2060)
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\ATKKBService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\System32\locator.exe
c:\windows\system32\wscntfy.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\progra~1\MICROS~3\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-14  08:23:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-07-14 06:22
ComboFix2.txt  2011-07-11 20:38
ComboFix3.txt  2011-07-11 13:43
ComboFix4.txt  2011-07-11 11:37
.
Vor Suchlauf: 6.618.460.160 Bytes frei
Nach Suchlauf: 6.601.732.096 Bytes frei
.
- - End Of File - - 8D8381E17527672023E5EF33352F7132
--- --- ---

Betroffen007 14.07.2011 07:38
Mit der erneuten bitte um Durchsicht.
Mein online Banking ist immer noch gesperrt.
Die Bank hat mich an das Trojaner-Board verwiesen.
Also seid ihr meine letzte Hoffnung.

Larusso 14.07.2011 12:47
Wenn Du hilfe willst, mach was Dir gesagt wird. So einfach ist das. Anders können wir dir nicht helfen.

Wie sieht das aus wenn wir uns deine Probleme ebenfalls nicht ansehen ? Wie sollen wir dir dann helfen.

Genau so geht es uns auch. Du liest nicht was markus von dir verlangt, wie soll er dir dann helfen ?

Wenn Du Angst hast, dass irgendjemand was mit Dateien und Ordner, die auf so jeden PC vorhanden sind, was anfangen kann um dich zu hacken, dann setze deinen Rechner neu auf.

Fazit. Mach was Dir gesagt wird oder lass es sein nach Hilfe zu fragen.

Betroffen007 14.07.2011 16:32
Ich habe euch ja nun den Log gepostet von ComboFix.exe.

Ist doch das was Ihr benötigt habt, oder habe ich da etwas missverstanden?

Bitte versteht mich auch, das ich etwas voreilig war mit eigener Recherche und ausprobieren von tools.

Sorry nochmal, dass ich etwas voreilig war.:pfeiff:

Ich wollte das System nicht neu aufsetzen und benötige aber meinen Rechner.

Ich habe mir mittlerweile einen Laptop geliehen und habe nun genug Zeit das System in Ordnung zu bringen.

Könnt Ihr denn etwas mit dem Logfile anfangen?
Ich habe Ihn heute erstellt.

Gruss Oliver.

Betroffen007 26.07.2011 09:11
Nun muss ich meinem Unmut freien Lauf lassen.

Der Beitrag vom 09.07.2011, wurde bis zum 26.07.2011 einfach links liegen gelassen.

Ihr seid ein Arroganter Haufen.

1.) Ihr lasst euch ewig Zeit.

2.) Wenn man dann selber aktiv wird, werdet ihr arrogant

Das trojaner-board ist für mich absolut nicht Hilfreich gewesen.

Ihr habt mich einfach ignoriert.

Ich habe euch die gewünschten Logfiles gepostet und ihr ignoriert alles-.

Die ganze Arbeit hätte ich mir sparen können.

Das komplette System aufzusetzen geht schneller, als mit euch den Kontakt aufzunehmen.

Bewertung des www.trojaner-board.de NEGATIV !!!!

cosinus 26.07.2011 16:15
Zitat:
Nun muss ich meinem Unmut freien Lauf lassen.
Du hast nicht von anfang das umgesetzt was markus wollte! Hättest du das eher getan, wär es garnicht soweit gekommen!

Zitat:
Ich habe euch die gewünschten Logfiles gepostet und ihr ignoriert alles-.
Ja erst hinterher, aber das verschweigst du dezent. Dass man sich dann als Helfer etwas veräppelt vorkommt und dann die Lust verliert ist dir wohl nicht klar!

Shadow 26.07.2011 18:49
Zitat:
Zitat von Betroffen007 (Beitrag 686747)
Nun muss ich meinem Unmut freien Lauf lassen.
Solange berechtigt und vernünftig vorgetragen, ist dies okay
Zitat:
Zitat von Betroffen007 (Beitrag 686747)
Der Beitrag vom 09.07.2011, wurde bis zum 26.07.2011 einfach links liegen gelassen.
Naja, vielmehr hast du doch wiederholt Anweisungen links liegen gelassen - schon mal darüber nachgedacht? Das wirkt auf Helfer wie?
Zitat:
Zitat von Betroffen007 (Beitrag 686747)
Ihr seid ein Arroganter Haufen.
Aber natürlich.
Du tust nichts, was man dir sagt, du wählst nicht die vorgesehen Wege und schon sind andere Schuld. Wer opfert hier für nichts außer Dank oder - bei dir - Unverständnis und Stänkerei seine private Freizeit?
Wer hat sich Malware installiert?
Zitat:
Zitat von Betroffen007 (Beitrag 686747)
1.) Ihr lasst euch ewig Zeit.
Beschwer dich nicht, du hast auch nicht das getan, um was man dich gebeten hatte - und es wäre für dich, nur für dich selber, in deinem eigenen Interesse gewesen.
Zitat:
Zitat von Betroffen007 (Beitrag 686747)
Das trojaner-board ist für mich absolut nicht Hilfreich gewesen.
Mag sein, dass "das Forum" dir hat nicht helfen können :rolleyes:, lag aber zu einem ganz großem Teil an dir.
Zitat:
Zitat von Betroffen007 (Beitrag 686747)
Ich habe euch die gewünschten Logfiles gepostet und ihr ignoriert alles-.
Du hast primär versäumt geforderte Logs zu posten bzw. erst auf Nachfrage mit dadurch großer Verspätung. Und ungeforderte Logs hast aber erstellen und posten können. Und jetzt beschwerst du dich.
Wie hattest du vorhin das Forum bezeichnet. "Arrogant"? Denk mal bitte nach über Ursache Wirkung und Reaktion auf Wirkungen.


Zitat:
Zitat von Betroffen007 (Beitrag 686747)
Die ganze Arbeit hätte ich mir sparen können.
Das komplette System aufzusetzen geht schneller,
Es ist quasi IMMER schneller und sicherer sein System neu aufzusetzen, wenn man seine Sachen beinand hat und "wie vorgeschrieben" ein Backup seiner persönlich erstellten Daten hat.
Aber du wolltest wohl eine Bereinigung.

Zitat:
Zitat von Betroffen007 (Beitrag 686747)
Bewertung des www.trojaner-board.de NEGATIV !!!!
Jupp, wer hat noch mal dir die Malware - wenn auch unabsichtlich - aufgespielt? Markus? Das Trojaner-Board? :rolleyes:

Versteh es nicht falsch, natürlich kann man sich ärgern, wenn nichts weiter geht. Aber statt hier jetzt rumzupöbeln, weil ein Helfer, der auch für uns überraschend ausgefallen ist, hättest du ganz einfach in den dafür vorgesehen Thread ( => Erinnerung an meinen Thread ) einfach mal einen höflichen Beitrag wie "Hallo, markusg hat zwar angefangen mir zu helfen, hat sich aber seit ein paar Tagen nicht mehr im Forum angemeldet, kann bitte jemand anderes vielleicht weiterhelfen?"
Wäre vielleicht intelligenter und etwas sozialer als freiwilligen Helfern Arroganz vorzuwerfen. Und wahrscheinlich hättest du dein Ziel erreicht.
Denk bitte mal darüber nach.

Schönen Abend noch.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131