Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   bei meinen Laufwerken (extern) H und I erscheint nur noch Pendrive (https://www.trojaner-board.de/82166-meinen-laufwerken-extern-h-i-erscheint-nur-noch-pendrive.html)

JamesRogers 25.01.2010 15:36
bei meinen Laufwerken (extern) H und I erscheint nur noch Pendrive
 
Hallo,

bei meinen beiden externen Usb laufwerken erscheint nur noch Pendrive. Außerdem lassen sich die Laufwerke nur per explorer und nicht mehr durch rechtsklict bzw doppelklick öffnen. vielen dank schonmal für die hilfe

James

cosinus 25.01.2010 19:48
Hallo und :hallo:

1.) Auf den beiden Laufwerken im Basisverzeichnis die autorun.inf löschen

2.) Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei und bestätige mit ja. Nach einem Neustart des Rechners ist (zumindest für Dein Benutzerkonto) der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

3.) Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

JamesRogers 25.01.2010 20:36
http://www.file-upload.net/download-2196444/log-files-wegen-pendrive.rar.html

JamesRogers 26.01.2010 07:32
also habe gestern 3 mal versucht das malware programm durchlaufen zu lassen, leider kam dann jedesmal ein bluescreen das war bei c. leider hab ich nicht aufgeschieben was für eine datei das war ich werde heute morgen nochmal nen durchlauf starten mit den externen laufwerken und meinem internen e laufwer
hoffe das klappt besser

cosinus 26.01.2010 08:26
Hast Du dennn die autorun.inf auf I und H löschen können?

JamesRogers 26.01.2010 11:13
nein die gabs net hab aber den autorun ausgemacht

cosinus 26.01.2010 11:17
Mach bitte ein Log mit CF wenn Malwarebytes noch nicht will:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

JamesRogers 26.01.2010 11:45
Combofix Logfile:
Code:
ComboFix 10-01-25.06 - Merkur 26.01.2010  11:35:56.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.707 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Merkur\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Merkur\Anwendungsdaten\logs.dat
c:\programme\ICQ6.5\ICQLRun.exe
c:\windows\pi.exe
H:\Autorun.inf
I:\Autorun.inf

.
(((((((((((((((((((((((  Dateien erstellt von 2009-12-26 bis 2010-01-26  ))))))))))))))))))))))))))))))
.

2010-01-25 19:26 . 2010-01-25 19:33        --------        d-----w-        c:\programme\trend micro
2010-01-25 19:26 . 2010-01-25 19:26        --------        d-----w-        C:\rsit
2010-01-25 18:17 . 2010-01-25 18:17        --------        d-----w-        c:\programme\SEGA
2010-01-25 15:17 . 2010-01-25 15:17        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Malwarebytes
2010-01-25 15:17 . 2010-01-07 15:07        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-25 15:17 . 2010-01-25 15:17        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-25 15:17 . 2010-01-07 15:07        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-01-25 15:17 . 2010-01-25 15:17        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-01-25 15:13 . 2010-01-25 15:13        --------        d-----w-        c:\programme\CCleaner
2010-01-13 00:37 . 2009-11-21 15:54        471552        -c----w-        c:\windows\system32\dllcache\aclayers.dll
2010-01-07 18:35 . 2010-01-09 22:01        --------        d-----w-        C:\temp
2010-01-07 13:46 . 2010-01-07 13:46        --------        d-----w-        c:\programme\Winamp Detect
2010-01-07 13:45 . 2010-01-09 22:01        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Winamp
2010-01-07 13:45 . 2010-01-07 13:46        --------        d-----w-        c:\programme\Winamp
2010-01-06 22:56 . 2010-01-06 23:00        7        ----a-w-        c:\windows\sbacknt.bin
2010-01-06 22:56 . 2010-01-06 22:56        152904        ----a-w-        c:\windows\system32\vghd.scr
2010-01-06 22:56 . 2010-01-07 06:01        --------        d-----w-        c:\programme\vghd
2010-01-06 22:56 . 2010-01-06 23:02        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\vghd
2010-01-05 08:03 . 2010-01-05 08:03        --------        d-----w-        C:\found.001
2010-01-02 14:41 . 2010-01-02 14:41        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\gtk-2.0
2010-01-02 14:38 . 2010-01-02 14:38        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\BleachBit
2009-12-31 23:43 . 2009-12-31 23:43        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\ViGlance
2009-12-31 23:43 . 2009-12-31 23:43        --------        d-----w-        c:\programme\ViGlance
2009-12-31 12:00 . 2009-12-31 12:00        --------        d-----w-        c:\programme\GIMP-2.0
2009-12-31 11:55 . 2009-12-31 11:55        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Lokale Einstellungen\Anwendungsdaten\Innovative Solutions
2009-12-31 11:55 . 2009-12-31 11:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Innovative Solutions
2009-12-31 11:54 . 2009-12-31 12:37        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Lokale Einstellungen\Anwendungsdaten\xrecode2
2009-12-31 10:09 . 2009-12-31 10:09        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\GRETECH
2009-12-30 12:26 . 2009-12-30 12:26        --------        d-----w-        c:\programme\Pidgin
2009-12-30 12:23 . 2009-12-30 12:23        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Chiu Software Systems
2009-12-30 12:21 . 2009-12-30 12:21        --------        d-----w-        c:\programme\CrystalDiskInfo
2009-12-28 18:32 . 2005-12-01 09:49        23600        ----a-w-        c:\windows\system32\drivers\drhard.sys
2009-12-28 18:32 . 2010-01-20 17:52        --------        d-----w-        c:\programme\Dr. Hardware 2010

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-26 10:40 . 2009-06-04 17:46        --------        d-----w-        c:\programme\ICQ6.5
2010-01-26 10:25 . 2009-06-04 23:37        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\OpenOffice.org2
2010-01-26 10:24 . 2009-06-06 09:44        --------        d-----w-        c:\programme\lg_fwupdate
2010-01-26 10:24 . 2009-06-04 21:42        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Skype
2010-01-26 07:05 . 2009-06-04 22:21        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\skypePM
2010-01-25 18:45 . 2009-06-16 11:43        107888        ----a-w-        c:\windows\system32\CmdLineExt.dll
2010-01-25 18:29 . 2009-06-04 13:53        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-01-25 14:15 . 2009-06-16 12:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2010-01-21 11:29 . 2009-06-17 05:45        --------        d-----w-        c:\programme\Microsoft Silverlight
2010-01-05 06:24 . 2009-06-04 17:56        35112        ----a-w-        c:\dokumente und einstellungen\Merkur\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-04 17:31 . 2009-09-07 19:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-30 12:25 . 2009-06-04 17:06        411368        ----a-w-        c:\windows\system32\deploytk.dll
2009-12-27 08:45 . 2009-12-26 21:03        --------        d-----w-        c:\programme\Ascentive
2009-12-23 20:31 . 2009-12-25 14:14        52224        ----a-w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Mozilla\Firefox\Profiles\2m84rvkc.default\extensions\{2e464517-e5af-4144-8f1f-e6b2fe3f9eae}\components\FFExternalAlert.dll
2009-12-23 20:31 . 2009-12-25 14:14        101376        ----a-w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Mozilla\Firefox\Profiles\2m84rvkc.default\extensions\{2e464517-e5af-4144-8f1f-e6b2fe3f9eae}\components\RadioWMPCore.dll
2009-12-21 20:33 . 2009-12-21 20:33        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Ankh
2009-12-21 19:05 . 2006-02-28 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2009-12-09 08:27 . 2009-07-27 11:00        317568        ----a-w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\MobMapUpdater\MobMapUpdaterExternals.dll
2009-12-08 19:36 . 2009-12-08 19:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\POP3Profiles
2009-12-08 10:52 . 2009-06-04 17:37        56816        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2009-12-07 09:10 . 2009-12-07 08:45        --------        d-----w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\FOG Downloader
2009-12-01 06:23 . 2009-06-04 23:38        1        ----a-w-        c:\dokumente und einstellungen\Merkur\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-12-01 06:08 . 2009-06-04 17:39        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared
2009-11-30 22:50 . 2009-06-04 17:39        --------        d-----w-        c:\programme\DivX
2009-11-27 19:59 . 2009-09-16 14:10        3532        ----a-w-        C:\drmHeader.bin
2009-11-27 17:20 . 2009-09-30 07:35        --------        d-----w-        c:\programme\LucasArts
2009-11-21 15:54 . 2006-02-28 12:00        471552        ----a-w-        c:\windows\AppPatch\aclayers.dll
2009-11-14 00:47 . 2009-11-14 00:47        856064        ----a-w-        c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47        856064        ----a-w-        c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47        847872        ----a-w-        c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47        843776        ----a-w-        c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47        839680        ----a-w-        c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47        696320        ----a-w-        c:\windows\system32\DivX.dll
2009-11-09 21:07 . 2009-11-09 21:07        278984        ----a-w-        c:\windows\system32\drivers\atksgt.sys
2009-11-09 21:07 . 2009-11-09 21:07        25416        ----a-w-        c:\windows\system32\drivers\lirsgt.sys
2004-10-01 13:00 . 2009-07-01 06:37        40960        ----a-w-        c:\programme\Uninstall_CDS.exe
2009-10-14 17:11 . 2009-10-14 17:11        23        --sha-w-        c:\windows\system32\edacded0.dat
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MobMapUpdater"="c:\programme\MobMapUpdater\MobMapUpdater.exe" [2009-09-24 1771136]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"eMuleAutoStart"="e:\emule\emule.exe" [2009-02-22 5668864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2001-12-07 1216512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-17 13529088]
"nwiz"="nwiz.exe" [2008-05-17 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-17 86016]
"LGODDFU"="c:\programme\lg_fwupdate\fwupdate.exe" [2005-04-12 229376]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-30 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Merkur\Startmen\Programme\Autostart\
AutoLyrix.lnk - i:\programme\AutoLyrix\AutoLyrix.exe [2009-9-18 499712]
CurseClientStartup.ccip [2009-12-23 0]
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Desktop Media.lnk - i:\programme\Desktop Media\mediadetect.exe [2009-12-31 163840]
Microsoft Office.lnk - i:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
TraXEx 3.3.lnk - i:\programme\TraXEx\TraXEx.exe [2009-12-31 3882496]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiTrayTools

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"e:\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"i:\\World of Warcraft\\BackgroundDownloader.exe"=
"i:\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"i:\\World of Warcraft\\Launcher.exe"=
"i:\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"i:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"=
"i:\\Westwood\\Dune2000\\DUNE2000.DAT"=
"i:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"i:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"i:\\Programme\\Ubisoft\\Blue Byte\\DIE SIEDLER - Das Erbe der Könige - Gold Edition\\bin\\settlershok.exe"=
"i:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe"=
"c:\\Programme\\Steam\\SteamApps\\common\\empire total war\\Empire.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"i:\\Programme\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"=
"i:\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"i:\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"i:\\Programme\\LucasArts\\Star Wars Galactic Battlegrounds\\Game\\battlegrounds_x1.exe"=
"i:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"i:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"i:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=
"i:\\Programme\\Microsoft Games\\Rise of Nations\\thrones.exe"=
"i:\\Programme\\Warcraft III\\Warcraft III.exe"=
"i:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Dokumente und Einstellungen\\Merkur\\Lokale Einstellungen\\Apps\\2.0\\7KZA9N6B.C92\\HM6E0H25.3AD\\curs..tion_eee711038731a406_0004.0000_1332b9f434841748\\CurseClient.exe"=
"i:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.09.2009 18:41 108289]
R2 drhard;drhard;c:\windows\system32\drivers\drhard.sys [28.12.2009 19:32 23600]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [04.06.2009 18:47 222456]
R3 VirtDiskBus;Virtual disk Enumerator;c:\windows\system32\drivers\VirtDiskBus.sys [20.06.2009 19:08 63640]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.06.2009 06:43 717296]
S3 ActionReplayDS;ActionReplayDS;c:\windows\system32\drivers\ActionReplayDS.sys [17.07.2009 18:43 29184]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{T33588NE-WGRN-50HW-WMR5-6UC0KG27H5JU}]
2009-12-02 01:16        0        --sha-r-        c:\windows\Setup\setup.exe
.
Inhalt des "geplante Tasks" Ordners

2010-01-26 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 16:47]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Windows &Live Favorites - hxxp://favorites.live.com/quickadd.aspx
IE: Nach Microsoft &Excel exportieren - i:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - i:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - i:\programme\TraXEx\Integration\TraXEx Internet Explorer.lnk
IE: {{8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - i:\programme\TraXEx\Integration\TraXEx Löschautomat.lnk
FF - ProfilePath - c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Mozilla\Firefox\Profiles\2m84rvkc.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1210719&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Mozilla\Firefox\Profiles\2m84rvkc.default\extensions\{2e464517-e5af-4144-8f1f-e6b2fe3f9eae}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Merkur\Anwendungsdaten\Mozilla\Firefox\Profiles\2m84rvkc.default\extensions\{2e464517-e5af-4144-8f1f-e6b2fe3f9eae}\components\RadioWMPCore.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ActiveSetup-{1D171AB3-F0D7-147A-3BC0-A8986FB3C898} - c:\windows\system32\winupd.exe
AddRemove-Age of Empires Gold 1.0 - f:\programme\Microsoft Games\Age of Empires\UNINSTAL.EXE
AddRemove-Heaven and Hell - live and let die - f:\progra~1\HEAVEN~1\UNINST~1\UNWISE.EXE
AddRemove-Imperium Romanum - f:\programme\Kalypso\Imperium Romanum\uninst.exe
AddRemove-Sacred Underworld_is1 - f:\programme\Ascaron Entertainment\Sacred Underworld\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-01-26 11:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-343818398-1935655697-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:c4,e1,a6,be,a2,a9,8c,96,45,d2,e4,32,42,73,9c,e1,0f,f7,e8,42,98,
  4a,e2,8d,79,83,ac,6f,aa,9a,2e,9b,6d,dd,72,58,94,df,08,61,23,66,3c,37,ae,5f,\
"rkeysecu"=hex:ed,22,9d,4c,89,e2,d9,5d,49,09,70,b4,2d,e5,84,be
.
Zeit der Fertigstellung: 2010-01-26  11:43:31
ComboFix-quarantined-files.txt  2010-01-26 10:43

Vor Suchlauf: 12 Verzeichnis(se), 34.785.181.696 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 34.821.488.640 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[Boot Loader]
Timeout=2
Default=c:\$win_nt$.~bt\BOOTSECT.DAT
[Operating Systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
c:\$win_nt$.~bt\BOOTSECT.DAT="Windows Setup"

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - CD9D200319BF55202D1D38E04D2DAA50
--- --- ---

JamesRogers 26.01.2010 11:56
so die laufwere sind wieder normal angezeigt aber was sind das für andere dats die da gelöscht wurden? vielen dan schonmal für die hilfe für das pendrive

cosinus 26.01.2010 12:00
Was für dats? Bitte so schreiben, dass ich nicht rumraten muss :balla:

Da waren übrigens doch autorun.inf Dateien, die hat CF gelöscht:
Code:
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
H:\Autorun.inf
I:\Autorun.inf

JamesRogers 26.01.2010 13:08
ja die hat man aber net gesehen warum auch immer ich hab alle dateinen und ordner anzeigen lassen und trotzdem waren die net zu sehen ich meine

c:\dokumente und einstellungen\Merkur\Anwendungsdaten\logs.dat
c:\programme\ICQ6.5\ICQLRun.exe
c:\windows\pi.exe

cosinus 26.01.2010 13:22
Zitat:
Zitat von JamesRogers (Beitrag 499052)
ja die hat man aber net gesehen warum auch immer ich hab alle dateinen und ordner anzeigen lassen und trotzdem waren die net zu sehen ich meine

c:\dokumente und einstellungen\Merkur\Anwendungsdaten\logs.dat
c:\programme\ICQ6.5\ICQLRun.exe
c:\windows\pi.exe
Du weißt wie man Google bedient? ;)

JamesRogers 26.01.2010 13:33
ok danke für alles

cosinus 26.01.2010 16:32
Google einfach mal nach den Dateinamen, bei den allermeisten findet man das so raus ;)
Ich wäre noch für einen Kontrollscan: öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:36 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129