Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   pc stürzt ab (https://www.trojaner-board.de/83522-pc-stuerzt-ab.html)

AnalAcrobats 05.03.2010 22:03
pc stürzt ab
 
was schon passiert ist:

ich hab es so sein gelassen mit den ieexplore dingern, manchmal tauchen die auf , sie schaden nicht.....irgendwann bin ich auf eine seite gegangen die aber womögluch exploitet wurde(javascript lücken) und avast sagte auch dass ich verbindung trennen soll, ich wollte aber dennoch auf diese seite und hab avast deaktiviert, viren haben sich auf den pc geladen, ich wußte dass ich mit combofix es danach scannen musste und mit anderen scannern aber pc hat angefangen abzustürzen als ich vollscann bei mbab machte, ich hab mehrere tage lang gescannt(mit früherem combofix und upgedatetem) und hab einige logfiles, zurzeit hat pc keine viren, ich dachte viren verursachen absrütze aber es stürzt immer noch ab, ......dann wann es will, manchmal nach ersten 10 min ab pc start...ich hatte mal radeon x800gto aber da hängte sich pc auf da es ati ist und nicht nvidia, ich hab mehrmals da instaliert und alles gemacht was man tun konnte damit x800 auf dem pc läuft aber es hat aufgehört seit dem ich gforce 6800 habe, hab auch neues nt seit 31 dez 1008 dachte es wäre das problem aber es war eben nur ati...jetzt stürzt es ab und es ist vielliehct nt's schuld, es ist 750w, auch wenn es vielleicht nicht solche leistung bringt muss es zumindestens hälfte bringen... heiß wird pc auch nicht......ich sehe : 3.31 für 3.3v, 4.95 für 5v, 11.07 für 12v (es hat auch mal 10.94v geschafft).....was soll ich jetzt tun.....logfiles im nächsten beitrag
.
.
.
website

http://cottonboys.sweetgiggles.net

ihr könnt jetzt selber sehen welche meldung eur antivir gibt, dann wisst ihr welcher trojaner es war(mehrere)............JS:Illredir-W [Trj] und er hat was mit {gzip} zu tun(er entpackt sich womöglich durch sowas)

Angel21 05.03.2010 22:08
Zu erst einmal Hallo und :hallo:

Freut mich, dass Du den Weg hier ins Trojaner-Board gefunden hattest, um eine optimale Lösung deines Problems zu finden. Hier wird gerne Hilfestellung gegeben.
Nur Dein Nickname scheint mir hier nicht angemessen zu sein, ich denke es wird keinen viel Interessieren, ob du ein AnalAcrobate bist, wie du es öffentlich zur Kenntnis gibst.

AnalAcrobats 05.03.2010 22:10
ich schrieb zu consincus,(da ich eh davon ausgehe dass er allein in diesem forum antwortet) er kennt meine geschichte, und er weiß wieso ich mich auch analacrobats (2) genannt habe..........ist er im urlaub?




11.07 ist zu wenig für 12v.....aber es stürzt ab dann wann es will auch unter nicht belastung, während ich gespielt habe stürzte es nicht ab, bei surfen stürzt es manchmal ab, seit 3h ist es nicht abgestürzt


Code:
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
Code:
Infizierte Dateien:
H:\Everest Poker.exe (PUP.Casino) -> Quarantined and deleted successfully.

Code:
Infizierte Dateien:
C:\Dokumente und Einstellungen\evgenij\Startmenü\Programme\Autostart\winesm32.exe (Trojan.Downloader) -> Delete on reboot.
C:\Dokumente und Einstellungen\evgenij\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Code:
Infizierte Dateien:
C:\WINDOWS\Temp\_ex-68.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Code:
ComboFix 10-03-03.09 - evgenij 04.03.2010  18:40:43.9.1 - FAT32x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1535.1112 [GMT 1:00]
ausgeführt von:: H:\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100304-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ntSVc.ocx
h:\programme\Antbar\Ant.com Toolbar\tbHElper.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-02-04 bis 2010-03-04  ))))))))))))))))))))))))))))))
.

2010-03-04 17:06 . 2010-03-04 17:06        --------        d-----w-        C:\FOUND.004
2010-03-04 16:32 . 2010-03-04 16:32        --------        d-----w-        C:\FOUND.003
2010-03-03 17:04 . 2010-03-03 17:04        --------        d-----w-        C:\FOUND.002
2010-03-03 16:58 . 2010-03-03 16:58        --------        d-----w-        C:\FOUND.001
2010-03-02 21:39 . 2010-03-02 21:39        --------        d-----w-        C:\FOUND.000
2010-03-02 15:31 . 2004-08-03 22:00        8192        ----a-w-        c:\windows\system32\drivers\Changer.sys
2010-03-02 15:26 . 2010-03-02 15:26        116        ----a-w-        c:\windows\system32\fjhdyfhsn.bat
2010-02-17 17:14 . 2010-02-17 17:14        --------        d-----w-        C:\rsit
2010-02-16 21:34 . 2010-02-16 21:34        --------        d-----w-        c:\dokumente und einstellungen\evgenij\Lokale Einstellungen\Anwendungsdaten\ant.com
2010-02-08 22:08 . 2010-02-08 22:09        5115824        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-03 16:44 . 2007-12-24 21:33        90112        ----a-w-        c:\windows\DUMP0b1d.tmp
2010-03-02 15:25 . 2010-03-02 15:25        16        ----a-w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\rbuwzv.dat
2010-01-26 16:49 . 2010-01-26 16:49        --------        d-----w-        c:\programme\Everest Poker
2010-01-26 16:44 . 2010-01-26 16:44        --------        d-----w-        c:\dokumente und einstellungen\evgenij\Anwendungsdaten\PacificPoker
2010-01-21 21:30 . 2010-01-21 21:30        --------        d-----w-        c:\programme\Gemeinsame Dateien\Windows Live
2010-01-21 21:30 . 2007-12-24 22:16        213664        ----a-w-        c:\dokumente und einstellungen\evgenij\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-15 23:19 . 2010-01-15 23:19        --------        d-----w-        c:\dokumente und einstellungen\evgenij\Anwendungsdaten\Tor
2010-01-15 23:19 . 2010-01-15 23:19        --------        d-----w-        c:\dokumente und einstellungen\evgenij\Anwendungsdaten\Vidalia
2010-01-07 20:47 . 2010-01-07 20:47        --------        d-----w-        c:\programme\Trend Micro
2010-01-07 15:07 . 2009-12-29 18:46        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-12-29 18:45        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2006-05-03 10:06 . 2008-01-30 15:34        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-01-30 15:34        31232        --sh--r-        c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-01-30 15:34        27648        --sh--w-        c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 09:32        279944        ----a-w-        c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA3D342F-FF20-4E31-9E82-22334155730C}]
2009-06-02 14:51        2695168        ----a-w-        h:\programme\Antbar\Ant.com Toolbar\tbcore3.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{6CD56C02-CB4D-41B5-A0FE-B479061CCB41}"= "h:\programme\Antbar\Ant.com Toolbar\tbcore3.dll" [2009-06-02 2695168]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{6cd56c02-cb4d-41b5-a0fe-b479061ccb41}]
[HKEY_CLASSES_ROOT\TBSB00982.TBSB00982.3]
[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
[HKEY_CLASSES_ROOT\TBSB00982.TBSB00982]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{6CD56C02-CB4D-41B5-A0FE-B479061CCB41}"= "h:\programme\Antbar\Ant.com Toolbar\tbcore3.dll" [2009-06-02 2695168]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{6cd56c02-cb4d-41b5-a0fe-b479061ccb41}]
[HKEY_CLASSES_ROOT\TBSB00982.TBSB00982.3]
[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
[HKEY_CLASSES_ROOT\TBSB00982.TBSB00982]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Update Service"="c:\progra~1\GEMEIN~1\TEKNUM~1\update.exe" [2008-01-14 19456]
"Rainlendar2"="d:\programme\Rainlendar2\Rainlendar2.exe" [2007-04-15 1291264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LGDCore"="e:\programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 1122304]
"Launch LCDMon"="e:\programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 497152]
"avast!"="e:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Adobe Reader Speed Launcher"="h:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 90112]
"QuickTime Task"="h:\programme\QuickTime\qttask.exe" [2007-12-11 286720]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"nwiz"="nwiz.exe" [2008-09-17 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"SideWinderTrayV4"="h:\progra~1\MICROS~3\GAMECO~1\common\swtrayv4.exe" [1999-07-03 24650]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-22 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
VIA RAID TOOL.lnk - c:\programme\VIA\RAID\raid_tool.exe [2007-12-25 565248]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\Sierra\\swat4\\Content\\System\\Swat4.exe"=
"e:\\Programme\\Sierra\\swat4\\Content\\System\\Swat4DedicatedServer.exe"=
"e:\\Program Files\\Microsoft Games\\AOE\\EMPIRESX.EXE"=
"e:\\Program Files\\Microsoft Games\\AOE\\Empires.exe"=
"h:\\Programme\\EA Games\\Nightfire\\Bond.exe"=
"h:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"h:\\Programme\\Paradox Entertainment\\Airfix Dogfighter DEMO\\Dogfighter.exe"=
"c:\\WINDOWS\\System32\\java.exe"=
"d:\\Programme\\Microsoft Games\\Age of Empires Trial\\empires.exe"=
"e:\\Empires\\age2_x1\\age2_x1.exe"=
"f:\\Programme\\EA GAMES\\MOHAA\\MOHAA.exe"=
"e:\\Programme\\Mozilla Firefox\\firefox.exe"=
"h:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"h:\\Programme\\AeriaGames\\Project Torque\\ProjectTorque.bin"=
"h:\\alibaba\\SWAT4 ALIBABA\\Content\\System\\Swat4.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:DCOM(135)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [07.06.2008 19:35 114768]
R2 AcuWVSSchedulerv5;Acunetix WVS Scheduler v5;h:\programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe [13.03.2008 10:36 655872]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07.06.2008 19:35 20560]
S2 gupdate1c9ae4f972fb88a;Google Update Service (gupdate1c9ae4f972fb88a);c:\programme\Google\Update\GoogleUpdate.exe [26.03.2009 21:15 133104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;h:\programme\MAGIX\Common\Database\bin\fbserver.exe [23.09.2009 21:52 1527900]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 21:22 34064]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - xteck
.
Inhalt des "geplante Tasks" Ordners

2010-03-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-26 20:14]

2010-03-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-26 20:14]

2010-02-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://yahoo.de/
uSearchMigratedDefaultUrl = hxxp://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZRfox000&fl=0&ptb=i4zSc5lJCPbW6uOa1FcU1Q&url=http://edits.mywebsearch.com/toolbaredits/barsearch.jhtml&st=sb&searchfor={searchTerms}
uInternet Settings,ProxyServer = 218.182.134.23:8080
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
FF - ProfilePath - c:\dokumente und einstellungen\evgenij\Anwendungsdaten\Mozilla\Firefox\Profiles\1zhl6l18.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-amo&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
FF - component: c:\dokumente und einstellungen\evgenij\Anwendungsdaten\Mozilla\Firefox\Profiles\1zhl6l18.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Google\Google Gears\Firefox\lib\ff2\gears.dll
FF - component: e:\programme\Mozilla Firefox\components\xpinstal.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-04 18:45
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xteck]

.
Zeit der Fertigstellung: 2010-03-04  18:47:27
ComboFix-quarantined-files.txt  2010-03-04 17:47
ComboFix2.txt  2010-03-04 17:21
ComboFix3.txt  2010-03-03 17:45
ComboFix4.txt  2010-02-10 18:05

Vor Suchlauf: 586.309.632 Bytes frei
Nach Suchlauf: 579.059.712 Bytes frei

- - End Of File - - AC509965B2086126AE63A93600A1368E

Code:
ComboFix 10-03-02.02 - evgenij 03.03.2010  23:44:48.6.1 - FAT32x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1535.1002 [GMT 1:00]
ausgeführt von:: H:\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100303-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-02-03 bis 2010-03-03  ))))))))))))))))))))))))))))))
.

2010-03-03 17:04 . 2010-03-03 17:04        --------        d-----w-        C:\FOUND.002
2010-03-03 16:58 . 2010-03-03 16:58        --------        d-----w-        C:\FOUND.001
2010-03-02 21:39 . 2010-03-02 21:39        --------        d-----w-        C:\FOUND.000
2010-03-02 15:31 . 2004-08-03 22:00        8192        ----a-w-        c:\windows\system32\drivers\Changer.sys
2010-03-02 15:26 . 2010-03-02 15:26        116        ----a-w-        c:\windows\system32\fjhdyfhsn.bat
2010-02-17 17:14 . 2010-02-17 17:14        --------        d-----w-        C:\rsit
2010-02-16 21:34 . 2010-02-16 21:34        --------        d-----w-        c:\dokumente und einstellungen\evgenij\Lokale Einstellungen\Anwendungsdaten\ant.com
2010-02-08 22:08 . 2010-02-08 22:09        5115824        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-03 16:44 . 2007-12-24 21:33        90112        ----a-w-        c:\windows\DUMP0b1d.tmp
2010-01-26 16:49 . 2010-01-26 16:49        --------        d-----w-        c:\programme\Everest Poker
2010-01-26 16:44 . 2010-01-26 16:44        --------        d-----w-        c:\dokumente und einstellungen\evgenij\Anwendungsdaten\PacificPoker
2010-01-21 21:30 . 2010-01-21 21:30        --------        d-----w-        c:\programme\Gemeinsame Dateien\Windows Live
2010-01-21 21:30 . 2007-12-24 22:16        213664        ----a-w-        c:\dokumente und einstellungen\evgenij\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-15 23:19 . 2010-01-15 23:19        --------        d-----w-        c:\dokumente und einstellungen\evgenij\Anwendungsdaten\Tor
2010-01-15 23:19 . 2010-01-15 23:19        --------        d-----w-        c:\dokumente und einstellungen\evgenij\Anwendungsdaten\Vidalia
2010-01-07 20:47 . 2010-01-07 20:47        --------        d-----w-        c:\programme\Trend Micro
2010-01-07 15:07 . 2009-12-29 18:46        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-12-29 18:45        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2006-05-03 10:06 . 2008-01-30 15:34        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-01-30 15:34        31232        --sh--r-        c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-01-30 15:34        27648        --sh--w-        c:\windows\system32\Smab0.dll
.

(((((((((((((((((((((((((((((  SnapShot@2010-02-10_18.03.49  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-03 18:01 . 2010-03-03 18:01        16384              c:\windows\Temp\Perflib_Perfdata_688.dat
- 2001-08-17 12:52 . 2001-08-18 11:00        18688              c:\windows\system32\drivers\cdaudio.sys
+ 2001-08-17 12:52 . 2001-08-17 12:52        18688              c:\windows\system32\drivers\Cdaudio.sys
+ 2007-12-24 22:05 . 2004-08-03 21:58        59904              c:\windows\system32\drivers\atmarpc.sys
- 2001-08-18 11:00 . 2004-08-03 21:58        59904              c:\windows\system32\drivers\atmarpc.sys
+ 2007-12-24 21:52 . 2010-03-02 15:25        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2007-12-24 21:52 . 2007-12-24 22:16        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2007-12-24 21:52 . 2010-03-02 15:25        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-24 21:52 . 2007-12-24 22:16        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2010-02-27 18:42 . 2010-02-27 18:42        22528              c:\windows\Installer\84bee.msi
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 09:32        279944        ----a-w-        c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA3D342F-FF20-4E31-9E82-22334155730C}]
2009-06-02 14:51        2695168        ----a-w-        h:\programme\Antbar\Ant.com Toolbar\tbcore3.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{6CD56C02-CB4D-41B5-A0FE-B479061CCB41}"= "h:\programme\Antbar\Ant.com Toolbar\tbcore3.dll" [2009-06-02 2695168]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{6cd56c02-cb4d-41b5-a0fe-b479061ccb41}]
[HKEY_CLASSES_ROOT\TBSB00982.TBSB00982.3]
[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
[HKEY_CLASSES_ROOT\TBSB00982.TBSB00982]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{6CD56C02-CB4D-41B5-A0FE-B479061CCB41}"= "h:\programme\Antbar\Ant.com Toolbar\tbcore3.dll" [2009-06-02 2695168]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{6cd56c02-cb4d-41b5-a0fe-b479061ccb41}]
[HKEY_CLASSES_ROOT\TBSB00982.TBSB00982.3]
[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
[HKEY_CLASSES_ROOT\TBSB00982.TBSB00982]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Update Service"="c:\progra~1\GEMEIN~1\TEKNUM~1\update.exe" [2008-01-14 19456]
"Rainlendar2"="d:\programme\Rainlendar2\Rainlendar2.exe" [2007-04-15 1291264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LGDCore"="e:\programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 1122304]
"Launch LCDMon"="e:\programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 497152]
"avast!"="e:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Adobe Reader Speed Launcher"="h:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 90112]
"QuickTime Task"="h:\programme\QuickTime\qttask.exe" [2007-12-11 286720]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"nwiz"="nwiz.exe" [2008-09-17 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"SideWinderTrayV4"="h:\progra~1\MICROS~3\GAMECO~1\common\swtrayv4.exe" [1999-07-03 24650]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-22 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
VIA RAID TOOL.lnk - c:\programme\VIA\RAID\raid_tool.exe [2007-12-25 565248]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\Sierra\\swat4\\Content\\System\\Swat4.exe"=
"e:\\Programme\\Sierra\\swat4\\Content\\System\\Swat4DedicatedServer.exe"=
"e:\\Program Files\\Microsoft Games\\AOE\\EMPIRESX.EXE"=
"e:\\Program Files\\Microsoft Games\\AOE\\Empires.exe"=
"h:\\Programme\\EA Games\\Nightfire\\Bond.exe"=
"h:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"h:\\Programme\\Paradox Entertainment\\Airfix Dogfighter DEMO\\Dogfighter.exe"=
"c:\\WINDOWS\\System32\\java.exe"=
"d:\\Programme\\Microsoft Games\\Age of Empires Trial\\empires.exe"=
"e:\\Empires\\age2_x1\\age2_x1.exe"=
"f:\\Programme\\EA GAMES\\MOHAA\\MOHAA.exe"=
"e:\\Programme\\Mozilla Firefox\\firefox.exe"=
"h:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"h:\\Programme\\AeriaGames\\Project Torque\\ProjectTorque.bin"=
"h:\\alibaba\\SWAT4 ALIBABA\\Content\\System\\Swat4.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:DCOM(135)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [07.06.2008 19:35 114768]
R2 AcuWVSSchedulerv5;Acunetix WVS Scheduler v5;h:\programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe [13.03.2008 10:36 655872]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07.06.2008 19:35 20560]
S2 gupdate1c9ae4f972fb88a;Google Update Service (gupdate1c9ae4f972fb88a);c:\programme\Google\Update\GoogleUpdate.exe [26.03.2009 21:15 133104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;h:\programme\MAGIX\Common\Database\bin\fbserver.exe [23.09.2009 21:52 1527900]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 21:22 34064]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBAMSWISSARMY
*Deregistered* - MBAMSwissArmy
*Deregistered* - xteck
.
Inhalt des "geplante Tasks" Ordners

2010-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-26 20:14]

2010-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-26 20:14]

2010-02-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://yahoo.de/
uSearchMigratedDefaultUrl = hxxp://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZRfox000&fl=0&ptb=i4zSc5lJCPbW6uOa1FcU1Q&url=http://edits.mywebsearch.com/toolbaredits/barsearch.jhtml&st=sb&searchfor={searchTerms}
uInternet Settings,ProxyServer = 218.182.134.23:8080
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: &Search
FF - ProfilePath - c:\dokumente und einstellungen\evgenij\Anwendungsdaten\Mozilla\Firefox\Profiles\1zhl6l18.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-amo&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-03 23:51
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xteck]

.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2072)
c:\windows\system32\webcheck.dll
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2010-03-03  23:53:51
ComboFix-quarantined-files.txt  2010-03-03 22:53
ComboFix2.txt  2010-03-03 17:45
ComboFix3.txt  2010-02-10 18:05

Vor Suchlauf: 593.920.000 Bytes frei
Nach Suchlauf: 613.531.648 Bytes frei

- - End Of File - - 8780AFD4ED8A4F008469C730880E5EDC

cosinus 05.03.2010 22:21
Zitat:
und er weiß wieso ich mich auch analacrobats (2) genannt habe.........
Woher soll ich das wissen? Weißt Du warum ich 'cosinus' heiße? :dummguck:
Ehrlich gesagt interessiert mich garnicht, warum Du Deinen Nick so gewählt hast, oder möchtest Du gewisse Spekulationen zulassen? :confused:

Ich lass es einfach mal bleiben jetzt. Jedenfalls bin ich nicht der einzige 'Antwortengeber'! :kloppen:

AnalAcrobats 05.03.2010 23:03
wieso will niemand helfen


was noch aufm pc war

Code:
C:\System Volume Information\_restore{0F3CBEB2-FB78-4FDE-90C9-15B93F6754E0}\RP182\A0334479.exe


C:\FOUND.001\FILE0000.CHK

H:\System Volume Information\_restore{0F3CBEB2-FB78-4FDE-90C9-15B93F6754E0}\RP181\A0325361.dll

H:\System Volume Information\_restore{0F3CBEB2-FB78-4FDE-90C9-15B93F6754E0}\RP183\A0338894.exe

AnalAcrobats 12.03.2010 03:52
in syystem32/drivers ist xteck.sys drin

es ist da seit 2.3 16:32 denn da hab ich mit mbab gescannt denn ich hab ja viruse bekommen, viruse sind nicht mehr da aber es hat sich irgedwie durch mbab xteck.sys instaliert und will nichtweg, wenn ich es löschen will dann geht es nicht, es kann nicht vom queledatenträger gelesen werden.....es wird "geändert" jede sekunde bzw wenn man sie anklickt, sie ist nur durch mbab entstanden und nur durch avast hab ich es rausgefunden bzw es hat mal gemeldet aber jetzt meldet es nicht bzw bei google steht nix zu xteck.sys

und ich kann es nicht löschen. wenn ich pc starte dann stürzt es ab nach 10min, wenn ich es 2es mal starte dann läuft es bis man es selber ausschaltet. sowas gibts bei google nicht, woher kommt es und wieso ist es nach dem ersten scannen von mbab entstanden?(da hat mbab auch nix gefunden am 16:32)


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19