Trojaner-Board - gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich (https://www.trojaner-board.de/94995-gehackte-website-aufgerufen-mbam-ok-otl-log-moeglich.html)

nein das sagt mir gar nichts. :(

schaun wir mal
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hier der ComboFix-Log. Zu Beginn des Scans öfnnete sich ein Fenster mit einer Warnung dass ComboFix Rootkit-Aktivitäten entdeckt hätte und ich deshalb den PC neustarten müsste. Das habe ich dann auch getan (auch wenn das in der Anleitung nicht vorkam).

Combofix Logfile:

Code:

ComboFix 11-01-28.01 - v** 28.01.2011  21:20:40.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.371 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\v**\Desktop\ComboFix.exe

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-12-28 bis 2011-01-28  ))))))))))))))))))))))))))))))

.
 

2011-01-26 20:07 . 2011-01-26 20:07        --------        d-----w-        c:\programme\VideoLAN

2011-01-23 16:33 . 2011-01-23 16:33        --------        d-----w-        c:\dokumente und einstellungen\g****\Anwendungsdaten\Malwarebytes

2011-01-08 11:16 . 2011-01-08 11:16        --------        d-----w-        c:\dokumente und einstellungen\v**\Anwendungsdaten\EAC

2011-01-08 11:16 . 2011-01-08 11:16        --------        d-----w-        c:\programme\Exact Audio Copy

2011-01-01 17:08 . 2001-08-18 03:54        5632        ----a-w-        c:\windows\system32\ptpusb.dll

2011-01-01 17:08 . 2008-04-14 06:52        159232        ----a-w-        c:\windows\system32\ptpusd.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-20 17:09 . 2010-12-11 14:46        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2010-12-11 14:46        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-12-18 12:11 . 2010-12-18 12:11        411368        ----a-w-        c:\windows\system32\deployJava1.dll

2010-11-18 18:12 . 2010-12-11 10:25        86016        ----a-w-        c:\windows\system32\isign32.dll

2010-11-09 14:51 . 2003-04-02 12:00        249856        ----a-w-        c:\windows\system32\odbc32.dll

2010-11-06 00:21 . 2003-04-02 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-11-06 00:21 . 2003-04-02 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2010-11-06 00:21 . 2003-04-02 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2010-11-03 12:25 . 2010-12-11 11:03        385024        ----a-w-        c:\windows\system32\html.iec

2010-11-02 15:17 . 2003-04-02 12:00        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LXBYCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll" [2004-09-10 69632]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\verwaltung\Startmen\Programme\Autostart\

Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2010-5-28 911920]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\lxbycoms.exe"=
 

S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [28.05.2010 12:04 14896]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

Trusted Zone: microsoft.com\*.update

Trusted Zone: microsoft.com\*.windowsupdate

Trusted Zone: microsoft.com\update

Trusted Zone: secunia.com\psi

Trusted Zone: windowsupdate.com

Trusted Zone: windowsupdate.com\download

FF - ProfilePath - c:\dokumente und einstellungen\v**\Anwendungsdaten\Mozilla\Firefox\Profiles\p0cq5uzq.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-Cmaudio - cmicnfg.cpl
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-01-28 21:27

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  LXBYCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2011-01-28  21:28:18

ComboFix-quarantined-files.txt  2011-01-28 20:28
 

Vor Suchlauf: 5 Verzeichnis(se), 20.947.316.736 Bytes frei

Nach Suchlauf: 6 Verzeichnis(se), 20.915.380.224 Bytes frei
 

- - End Of File - - 64884915E9E9CC163BCB695AD81A0D18

--- --- ---

kannst du mal den inhalt dieser datei posten?
ComboFix-quarantined-files.txt

2011-01-28 20:27:39 . 2011-01-28 20:27:39 125 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Cmaudio.reg.dat
2011-01-28 20:25:45 . 2011-01-28 20:25:45 6,484 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-01-28 20:01:07 . 2011-01-28 20:16:46 204 ----a-w- C:\Qoobox\Quarantine\catchme.log

hmm ich sehe nichts von nem rootkit, nutzt du daimon tools oder ähniche cd emulatoren,besteht die verbindung noch?

Heute gab es stattdessen eine Verbindung zu 80-239-228-41.customer.teliacarrier.com !? Eigenartig finde ich, dass man zu beiden Adressen soviel online findet.

Nein ich benutze keinerlei "Damon Tools" oder "Cd Emulatoren". Ich weiss noch nicht mal was das ist.

ich denke nicht das das schädliche verbindungen sind, aber schaun wir mal weiter.
lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

7-Zip 9.20 ---------- NÖTIG
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.1.102.64 ---------- NÖTIG
burnatonce ---------- NÖTIG
C-Media 3D Audio ---------- NÖTIG??? (INSTALLIERT MIT AUDIOTREIBER)
CCleaner Piriform 3.01 ----------- NÖTIG
Exact Audio Copy 1.0beta1 Andre Wiethoff 1.0beta1 ---------- NÖTIG
GIMP 2.6.11 The GIMP Team 2.6.11 ---------- NÖTIG
Hotfix für Windows XP (KB969084) Microsoft Corporation 3 ---------- UNBEKANNT
Lexmark P910 Series ---------- NÖTIG
Malwarebytes' Anti-Malware Malwarebytes Corporation ---------- NÖTIG
Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 ---------- UNBEKANNT
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation ----------- UNBEKANNT
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 ---------- UNBEKANNT
Mozilla Firefox (3.6.13) Mozilla 3.6.13 (de) ---------- NÖTIG
Mozilla Thunderbird (3.1.7) Mozilla 3.1.7 (de) ---------- NÖTIG
NVIDIA nForce Drivers ----------- NÖTIG
OpenOffice.org 3.2 OpenOffice.org 3.2.9502 ---------- NÖTIG
PDF-XChange Viewer Tracker Software Products Ltd. 2.5.188.0 ----------- NÖTIG
Secunia PSI ----------- NÖTIG
Tweak UI ----------- NÖTIG
VLC media player 1.1.6 VideoLAN 1.1.6 ----------- NÖTIG
Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation ---------- NÖTIG ?
Windows Internet Explorer 8 Microsoft Corporation 20090308.140743 ----------- UNNÖTIG ;-)
Windows Media Format 11 runtime ---------- UNBEKANNT
Windows Media Player 11 ----------- UNNÖTIG
Windows XP Service Pack 3 Microsoft Corporation 20080414.031514 ---------- NÖTIG

wie siehts aus wenn du den ff im safe mode, also ohne plugin startest gibts die verbindungen dann auch?

Seit heut Abend ist es wieder "static-ip-62-41.eurorings.net" und zwar regelmäßig im Log. Was kann das nur sein?

sorry ich war krank.
http://www.trojaner-board.de/74908-a...t-scanner.html
poste mal nen gmer log.