Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BKA Trojaner (https://www.trojaner-board.de/107194-bka-trojaner.html)

sithari 29.12.2011 21:49
markus, ich kenne Dich nicht aber Du bist ein Held!

Windows ist wieder hergestellt, alles geht wieder auch das Internet ist nicht mehr länger blockiert!

Ich danke Dir sehr! Ich hoffe, daß ich mich dafür irgendwann revanchieren kann!:party:

Ich poste noch den Log für Dich.

Rückfrage, wenn Kaspersky, mit dem ich sehr lange sehr zufrieden war, den Trojaner als Rücksacktourist bei filesonic nicht verhindern konnte, was für Möglichkeiten bleiben dann noch?:pfui:

sithari 29.12.2011 21:50
Combofix Logfile:
Code:
ComboFix 11-12-29.04 - Werner 29.12.2011  21:30:30.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1656 [GMT 1:00]
ausgeführt von:: K:\ComboFix.exe
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Werner\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\Werner\Anwendungsdaten\Desktopicon\eBay.ico
c:\dokumente und einstellungen\Werner\Anwendungsdaten\Desktopicon\uninst.exe
c:\dokumente und einstellungen\Werner\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\Werner\Anwendungsdaten\Wernerlog.dat
c:\dokumente und einstellungen\Werner\explorer.exe
c:\windows\$NtUninstallKB13832$
c:\windows\$NtUninstallKB13832$\1148154471\@
c:\windows\$NtUninstallKB13832$\1148154471\bckfg.tmp
c:\windows\$NtUninstallKB13832$\1148154471\cfg.ini
c:\windows\$NtUninstallKB13832$\1148154471\Desktop.ini
c:\windows\$NtUninstallKB13832$\1148154471\kwrd.dll
c:\windows\$NtUninstallKB13832$\1148154471\L\akygdmgo
c:\windows\$NtUninstallKB13832$\1148154471\U\00000001.@
c:\windows\$NtUninstallKB13832$\1148154471\U\00000002.@
c:\windows\$NtUninstallKB13832$\1148154471\U\00000004.@
c:\windows\$NtUninstallKB13832$\1148154471\U\80000000.@
c:\windows\$NtUninstallKB13832$\1148154471\U\80000004.@
c:\windows\$NtUninstallKB13832$\1148154471\U\80000032.@
c:\windows\$NtUninstallKB13832$\2165420293
c:\windows\~
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
c:\windows\IsUn0407.exe
c:\windows\ST6UNST.000
c:\windows\system32\windir
.
Infizierte Kopie von c:\windows\system32\drivers\netbt.sys wurde gefunden und desinfiziert
Kopie von - The cat found it :) wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2011-11-28 bis 2011-12-29  ))))))))))))))))))))))))))))))
.
.
2011-12-29 20:26 . 2008-04-13 22:51        162816        ----a-w-        c:\windows\system32\drivers\netbt.sys
2011-12-29 13:48 . 2011-12-29 13:49        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0
2011-12-26 10:51 . 2010-10-22 01:00        97360        ----a-w-        c:\windows\system32\drivers\Fwusb1b.bin
2011-12-26 10:51 . 2010-10-22 01:00        265088        ----a-w-        c:\windows\system32\drivers\fwlanusb.sys
2011-12-25 13:50 . 2011-12-25 14:25        --------        d-----w-        c:\dokumente und einstellungen\Werner\DoctorWeb
2011-12-24 17:15 . 2010-10-22 01:00        74240        ----a-w-        c:\windows\system32\fwlanci.org
2011-12-24 17:15 . 2011-12-24 17:15        --------        d-----w-        c:\programme\AVM_update
2011-12-24 11:08 . 2011-03-10 17:34        34608        ----a-w-        c:\windows\system32\drivers\klim5.sys
2011-12-24 11:08 . 2009-11-02 19:27        19472        ----a-w-        c:\windows\system32\drivers\klmouflt.sys
2011-12-24 11:08 . 2011-03-04 12:23        11352        ----a-w-        c:\windows\system32\drivers\kl2.sys
2011-12-24 11:08 . 2011-03-04 12:23        133208        ----a-w-        c:\windows\system32\drivers\kl1.sys
2011-12-24 11:08 . 2011-03-11 11:43        29763        ----a-w-        c:\windows\system32\drivers\klopp.dat
2011-12-23 10:21 . 2011-12-23 10:21        --------        d-----w-        C:\ClamWinPortable
2011-12-22 19:46 . 2011-12-22 19:46        --------        d-----w-        c:\dokumente und einstellungen\Werner\Anwendungsdaten\SUPERAntiSpyware.com
2011-12-22 19:46 . 2011-12-22 19:46        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-12-22 12:25 . 2009-10-22 11:54        37392        ----a-w-        c:\windows\system32\drivers\68097452.sys
2011-12-22 12:25 . 2009-09-25 15:59        128016        ----a-w-        c:\windows\system32\drivers\68097451.sys
2011-12-22 12:25 . 2011-12-22 12:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2011-12-22 12:25 . 2011-12-22 12:25        --------        d-----w-        c:\dokumente und einstellungen\Werner\Lokale Einstellungen\Anwendungsdaten\NPE
2011-12-22 12:15 . 2009-10-22 11:54        37392        ----a-w-        c:\windows\system32\drivers\42465252.sys
2011-12-22 12:15 . 2009-10-09 21:31        315408        ----a-w-        c:\windows\system32\drivers\4246525.sys
2011-12-22 12:15 . 2009-09-25 15:59        128016        ----a-w-        c:\windows\system32\drivers\42465251.sys
2011-12-21 22:49 . 2011-12-29 20:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2011-12-21 22:49 . 2011-12-21 22:49        --------        d-----w-        c:\programme\AVAST Software
2011-12-01 00:42 . 2011-12-01 00:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-29 20:40 . 2008-02-20 16:17        24944        ----a-w-        c:\windows\system32\drivers\GVTDrv.sys
2011-11-27 05:49 . 2011-11-27 05:49        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-24 13:29 . 2011-10-24 13:29        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx
2011-10-24 13:29 . 2011-10-24 13:29        69632        ----a-w-        c:\windows\system32\QuickTime.qts
2011-11-09 13:11 . 2011-04-30 07:39        134104        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
2010-11-20 06:28 . 2010-11-20 06:28        119808        ----a-w-        c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2006-05-03 09:06        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 12:30        216064        --sh--r-        c:\windows\system32\nbDX.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}"= "c:\programme\Eazel-DE\prxtbEaz2.dll" [2011-01-17 175912]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-01-17 175912]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"= "c:\programme\Hotspot_Shield\prxtbHot0.dll" [2011-01-17 175912]
"{0002ee26-8c11-49eb-9cdf-56eeffef664f}"= "c:\programme\HotSpot_International\tbHotS.dll" [2010-06-13 2734688]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_CLASSES_ROOT\clsid\{0002ee26-8c11-49eb-9cdf-56eeffef664f}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0002ee26-8c11-49eb-9cdf-56eeffef664f}]
2010-06-13 17:10        2734688        ----a-w-        c:\programme\HotSpot_International\tbHotS.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54        175912        ----a-w-        c:\programme\ConduitEngine\prxConduitEngin0.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
2011-01-17 14:54        175912        ----a-w-        c:\programme\Eazel-DE\prxtbEaz2.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
2011-01-17 14:54        175912        ----a-w-        c:\programme\Hotspot_Shield\prxtbHot0.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2011-01-17 14:54        175912        ----a-w-        c:\programme\softonic-de3\prxtbsof2.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
2010-05-06 16:06        777904        ----a-w-        c:\programme\kikin\ie_kikin.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}"= "c:\programme\Eazel-DE\prxtbEaz2.dll" [2011-01-17 175912]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-01-17 175912]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"= "c:\programme\Hotspot_Shield\prxtbHot0.dll" [2011-01-17 175912]
"{0002ee26-8c11-49eb-9cdf-56eeffef664f}"= "c:\programme\HotSpot_International\tbHotS.dll" [2010-06-13 2734688]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_CLASSES_ROOT\clsid\{0002ee26-8c11-49eb-9cdf-56eeffef664f}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\programme\Eazel-DE\prxtbEaz2.dll" [2011-01-17 175912]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-01-17 175912]
"{C95A4E8E-816D-4655-8C79-D736DA1ADB6D}"= "c:\programme\Hotspot_Shield\prxtbHot0.dll" [2011-01-17 175912]
"{0002EE26-8C11-49EB-9CDF-56EEFFEF664F}"= "c:\programme\HotSpot_International\tbHotS.dll" [2010-06-13 2734688]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_CLASSES_ROOT\clsid\{0002ee26-8c11-49eb-9cdf-56eeffef664f}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-25 39408]
"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-06-06 4389824]
"ccleaner"="c:\programme\CCleaner\CCleaner.exe" [2010-07-23 1755960]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="c:\windows\TBPanel.exe" [2007-11-01 2185768]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-11-20 30192]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-04-28 220552]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2011-10-24 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"EasyTuneVPro"="c:\programme\Gigabyte\ET5Pro\ETcall.exe" [2007-07-26 20480]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-3-13 110592]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
hp psc 2000 Series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-9 323646]
JShotTray.lnk - c:\programme\JShot\JShotTray.exe [2010-4-28 129024]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2010-6-15 106561]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk /p \??\L:\0autocheck autochk *
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 05:52        1695232        ----a-w-        c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"RoxLiveShare9"=2 (0x2)
"PnkBstrA"=2 (0x2)
"LightScribeService"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"hshld"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\Activision Value\\Soldier of Fortune Payback\\sof3.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\Programme\\Sierra Entertainment\\TimeShift\\bin\\TimeShift.Exe"=
"f:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"f:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"f:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"f:\\Programme\\Microsoft Games\\Gears of War\\Binaries\\WarGame-G4WLive.exe"=
"c:\\Programme\\SoulseekNS\\slsk.exe"=
"f:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"f:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"h:\\Programme\\Eidos\\Kane and Lynch Dead Men\\kaneandlynch.exe"=
"h:\\Programme\\Sega\\The Club\\TheClub.exe"=
"h:\\SoldierOfFortune\\SoF.exe"=
"l:\\Programme\\LucasArts\\Star Wars The Force Unleashed 2\\SWTFU2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"l:\\Programme\\Electronic Arts\\Medal of Honor\\Binaries\\moh.exe"=
"l:\\Programme\\Activision\\Call of Duty - Black Ops\\BlackOps.exe"=
"l:\\Programme\\Activision\\Call of Duty - Black Ops\\BlackOpsMP.exe"=
"l:\\Programme\\Activision\\Spider-Man(TM) - Dimensions\\Game.exe"=
"l:\\Programme\\Volition Inc\\Red Faction Guerrilla\\rfg.exe"=
"l:\\Programme\\EA Games\\Dead Space 2\\deadspace2.exe"=
"l:\\Programme\\EA\\Bulletstorm\\Binaries\\Win32\\ShippingPC-StormGame.exe"=
"f:\\Binaries\\UT3.exe"=
"l:\\Programme\\THQ\\Dawn of War II - Retribution\\DOW2.exe"=
"k:\\Programme\\Electronic Arts\\Command & Conquer 4 Tiberian Twilight\\Data\\CNC4.game"=
"l:\\Programme\\Bethesda Softworks\\Brink\\brink.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
R0 42465252;42465252 Boot Guard Driver;c:\windows\system32\drivers\42465252.sys [22.12.2011 13:15 37392]
R0 68097452;68097452 Boot Guard Driver;c:\windows\system32\drivers\68097452.sys [22.12.2011 13:25 37392]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [20.08.2010 17:48 64288]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [25.03.2011 10:56 28552]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.02.2011 16:47 717296]
R1 42465251;42465251;c:\windows\system32\drivers\42465251.sys [22.12.2011 13:15 128016]
R1 68097451;68097451;c:\windows\system32\drivers\68097451.sys [22.12.2011 13:25 128016]
R2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\programme\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [06.09.2009 05:06 169312]
R2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS --> c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS [?]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [26.12.2011 11:51 265088]
R3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [20.02.2008 17:17 24944]
R3 MarkFun_NT;MarkFun_NT;c:\programme\Gigabyte\ET5Pro\MARKFUN.W32 [20.02.2008 17:16 17912]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [16.06.2010 22:54 47360]
S0 qitlng;qitlng;c:\windows\system32\drivers\cdbvvsut.sys --> c:\windows\system32\drivers\cdbvvsut.sys [?]
S1 SASDIFSV;SASDIFSV;\??\c:\dokume~1\Werner\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\dokume~1\Werner\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]
S1 SASKUTIL;SASKUTIL;\??\c:\dokume~1\Werner\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS --> c:\dokume~1\Werner\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 11:52 135664]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [23.12.2009 12:41 4352]
S3 GetSusp;GetSusp;\??\c:\windows\stinger.sys --> c:\windows\stinger.sys [?]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [20.11.2010 07:28 30192]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 11:52 135664]
S4 hshld;Hotspot Shield Service;c:\programme\Hotspot Shield\bin\openvpnas.exe [03.06.2011 00:18 298824]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MARKFUN_NT
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2011-12-25 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-12-25 21:32]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-25 10:52]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-25 10:52]
.
2011-12-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1229272821-152049171-725345543-1003Core.job
- c:\dokumente und einstellungen\Werner\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-07-01 16:26]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1229272821-152049171-725345543-1003UA.job
- c:\dokumente und einstellungen\Werner\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-07-01 16:26]
.
2011-12-29 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2010-05-26 13:23]
.
2011-12-29 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-05-03 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = fritz.box
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\programme\kikin\ie_kikin.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Werner\Anwendungsdaten\Mozilla\Firefox\Profiles\5hyaw4jz.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2604146&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - prefs.js: network.proxy.type - 4
FF - user.js: browser.search.selectedEngine - foxsearch
FF - user.js: browser.search.order.1 - foxsearch
FF - user.js: browser.search.defaultenginename - foxsearch
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)
BHO-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)
Toolbar-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{40C3CC16-7269-4B32-9531-17F2950FB06F} - (no file)
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-eBay Icon - c:\dokumente und einstellungen\Werner\Anwendungsdaten\Desktopicon\uninst.exe
AddRemove-Gutscheinmieze - Toolbar - c:\dokumente und einstellungen\Werner\Anwendungsdaten\Gutscheinmieze\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-29 21:39
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MarkFun_NT]
"ImagePath"="\??\c:\programme\Gigabyte\ET5Pro\markfun.w32"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1229272821-152049171-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e6,b3,51,14,31,77,7d,df,2a,b4,37,a4,0d,00,ae,72,be,35,44,2d,03,d7,ed,
  f8,4a,dd,b8,48,b8,57,46,b3,19,96,38,90,96,b7,46,bb,cd,38,9a,0f,f2,af,29,1c,\
"??"=hex:b6,21,88,cf,39,2c,f2,30,73,9e,72,69,de,63,58,5a
.
[HKEY_USERS\S-1-5-21-1229272821-152049171-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:62,57,ea,c9,a2,b5,2b,4b,63,3a,4f,a0,e4,90,b3,20,c8,7f,8a,37,3a,
  4a,a7,a7,15,4a,f1,66,9c,d8,e3,02,df,69,0c,9f,95,4c,f4,fa,f1,3e,92,24,eb,2f,\
"rkeysecu"=hex:9f,ca,16,75,83,0a,d6,fd,d2,a5,ab,cb,c1,0d,12,f7
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1388)
c:\programme\SlySoft\AnyDVD\ADvdDiscHlp.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Hotspot Shield\HssWPR\hsssrv.exe
c:\programme\Hotspot Shield\bin\hsswd.exe
c:\programme\Maxtor\Sync\SyncServices.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gigabyte\ET5Pro\GUI.exe
c:\programme\Java\jre6\launch4j-tmp\JShotTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-12-29  21:43:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-12-29 20:43
.
Vor Suchlauf: 20 Verzeichnis(se), 11.154.550.784 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 11.460.911.104 Bytes frei
.
- - End Of File - - 4A23D1882BBC39D76C01FE3013A6A27C
--- --- ---

markusg 29.12.2011 21:56
hi,
öffne mal arbeitsplatz c:
qoobox
rechtsklick quarantain, mit winrar zip oder 7zip packen, nach anleitung hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
falls du dazu ein programm benötigst, instaliere winrar:
http://www.chip.de/downloads/WinRAR-..._12994655.html

wird das ystem für onlinebanking, einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb beruflcihes genutzt?

sithari 29.12.2011 22:09
Nein, da wir keine bösen Überraschungen erleben wollten, erledigen wir Bankgeschäfte in der Realität also in der Filiale vor unserer Haustür. Bestellungen werden entweder per Nachnahme oder per Vorauskasse abgewickelt, bis auf amazon, dort haben wir ein Kundenkonto....

Sollen wir nun noch irgendetwas zusätzlich installieren oder müssen wir, wie in anderen Foren gelesen, das System neu installieren, da es kompromitiert wurde?

sithari 29.12.2011 22:12
Beruflich nutzen wir ihn auch nicht. Unsere Arbeitgeber lassen nicht einmal zu, daß interne Mails an die Angestellten von einem Netz außerhalb abgerufen werden können.

sithari 29.12.2011 22:18
Wie Du oben geschrieben hast, wollten wir die Box unter Quarantäne stellen und mit winrar oder 7zip packen. Aber der Button "Quarantäne" ist grau hinterlegt, er läßt sich also nicht ausführen.... Kaspersky hat erfreulicherweise gemeldet, daß dieser Ordner brandgefährlich ist.... Hätte er das mal gemacht, als er im Huckepack mit filesonic kam *rofl*

markusg 30.12.2011 13:47
hi, ihr hattet ein relativ gefährliches rootkit auf dem pc.

deswegen würde ich das gerät neu formatieren und windows neu instalieren, und dann erkläre ich, wie man es richtig absichert.
keine angst, das formatieren etc geht sehr einfach und ich beantworte alle fragen die aufkommen sollten.
ps dann lassen wir das mit dem upload

1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:15 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131