Trojaner-Board - Offen hilfe für Pokerspieler

Trojaner-Board (https://www.trojaner-board.de/)

- Überwachung, Datenschutz und Spam (https://www.trojaner-board.de/uberwachung-datenschutz-spam/)

- -

hilfe für Pokerspieler (https://www.trojaner-board.de/94759-hilfe-pokerspieler.html)

hilfe für Pokerspieler

hallo liebe boarder.
Weil ich probleme mit meinem PC hab bin ich beim googlen auf diese seite gestossen.
ich bräuchte einpaar tips oder hilfe weil ich mich mit pc`s genau so gut
auskenne wie ein blinder mit gutem Augenmass.
Spass bei seite.
Es dreht sich um Folgendes. Ich Spiele Gerne Online-Poker und das
nicht nur bei einem anbiter.Vor einpaar wochen spielte ich bei einem sehr bekannten anbieter ein Pokerturnier. kurz bevor das turnier beendet war
(sprich kurz bevor ich hätte etwas gewinnen können) sperrte mir dieser anbieter aufeinmal meinen account so das dieses turnier für mich gelaufen war.als ich per e-mail den anbieter kontaktierte fragten die mich was ich mit ``spieler x``
und mit ``spieler y``zu tun habe und ob es noch personen gibt die meine
zugangsdaten kennen.In einer zweiten e-mail sagten die mir irgendwas von
keylogger und das jemand meine zugangsdaten kennt und sich Einloggen wollte während ich dieses turnier spielte.
ich habe seit dem nicht mehr dort gespielt.ich muss auch dazusagen das ich
etwas dumm war weil ich auf meinem Pc eine kleine liste mit zugangsdaten
von mir hatte die ich mir schlecht merken konnte.dieser hacker kannte meine
pin genau laut aufzeichnungen dieser pokerseite.seit der zeit is mein pc super
lahm.Bei anderen anbietern wo mein account halt noch besteht hab ich mitlerweile ungewöhnlich viel mehr geld verloren als
sonst.Ausserdem befinden sich in meinem systemordner tag für tag neue dateien die ich absolut nicht zuordnen kann.
Mir scheint eure seite hier sehr seriös zu sein deshalb wäre ich für etwas
hilfe von jemanden mehr als dankbar.

bis denn

1. solltest du mal sofort von nem saubren pc aus alle passwörter endern und von diesem pc aus nicht mehr nutzen bis wir fertig sind.
2. ists bei nem keylogger egal ob du die daten in ner text datei hast. aber, verzeihe mir, im allgemeinen nicht sehr klug gelöst. da wäre nen zettel vllt besser.
3.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

wow das ging ja schnell.
ich fang jetzt an

irgendwie krieg ich das nicht gepostet weil der logfile zu lang
is. jetzt hab ich versucht die in 2 mails zu posten geht auch nicht

du kannst die beiden txt dateien mit winrar oder zip packen und anhängen

ich glaub das dauert was länger sorry

was meinst du mit "das" stelle genaue fragen, nur so bekommst du vernünftige antworten.
wenn du das packen von dateien meinst, rectsklick auf die otl bzw. extras.txt und dann mit winrar oder zip packen wählen.
dann auf antworten, datei anhängen, durchsuchen, archive auswählen, auf anhängen und dann auf antworten klicken.

so hab die schritte befolgt

aber irgendwie keine dateien in der mail.
warum klappt das nicht.hab die txt dateien als rar ordner gemacht.
und dann hier an die mail gehangen

das ist ja schon mal nen anfang, otl.txt fehlt

OTL.zip ole ole wenn das jetzt auch nocht klappt hab ich soviel gelernt wie sonst in einem jahr.
danke schonmal

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

was meinst du bitte damit. ich steh gerade auf`m schlauch.
meinst du ich soll combofix herunterladen und ausführen?
und dann n logfile posten

Combofix Logfile:

Code:

ComboFix 11-01-14.01 - timur 15.01.2011  20:44:57.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.511.214 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\timur\Eigene Dateien\Downloads\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-12-15 bis 2011-01-15  ))))))))))))))))))))))))))))))

.
 

2011-01-15 19:51 . 2011-01-15 19:51        --------        d-----w-        c:\winxp\system32\wbem\snmp

2011-01-15 19:51 . 2011-01-15 19:51        --------        d-----w-        c:\winxp\system32\xircom

2011-01-15 19:51 . 2011-01-15 19:51        --------        d-----w-        c:\programme\microsoft frontpage

2011-01-14 21:58 . 2011-01-14 21:58        --------        d-----w-        c:\dokumente und einstellungen\timur\Anwendungsdaten\QuickScan

2011-01-14 14:24 . 2011-01-15 12:45        --------        d-----w-        c:\dokumente und einstellungen\timur\Anwendungsdaten\vlc

2011-01-14 14:22 . 2011-01-14 14:22        --------        d-----w-        c:\programme\VideoLAN

2011-01-14 07:40 . 2011-01-14 09:45        --------        d-----w-        c:\programme\Red Kings Poker

2011-01-14 07:01 . 2011-01-14 07:01        --------        d-----w-        c:\dokumente und einstellungen\timur\Lokale Einstellungen\Anwendungsdaten\Adobe

2011-01-14 05:56 . 2011-01-14 05:57        --------        d-----w-        c:\dokumente und einstellungen\timur\Anwendungsdaten\PCFix

2011-01-11 05:57 . 2011-01-14 06:06        --------        d-----w-        c:\dokumente und einstellungen\timur\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations

2011-01-11 04:45 . 2011-01-14 07:40        --------        d-----w-        c:\dokumente und einstellungen\timur\Lokale Einstellungen\Anwendungsdaten\P5

2011-01-04 23:44 . 2011-01-04 23:44        --------        d-----w-        c:\programme\YouTube Downloader

2011-01-03 04:53 . 2011-01-03 05:00        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2011-01-03 04:49 . 2006-05-25 14:52        162304        ----a-w-        c:\winxp\system32\ztvunrar36.dll

2011-01-03 01:35 . 2011-01-03 01:35        --------        d--h--w-        c:\winxp\PIF

2010-12-31 21:12 . 2011-01-15 03:12        --------        d-----w-        c:\dokumente und einstellungen\timur\Lokale Einstellungen\Anwendungsdaten\FullTiltPoker

2010-12-31 21:11 . 2011-01-15 14:05        --------        d-----w-        c:\programme\Full Tilt Poker

2010-12-30 10:34 . 2010-12-30 10:46        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan

2010-12-28 00:19 . 2010-12-28 00:19        --------        d-----w-        c:\dokumente und einstellungen\timur\Anwendungsdaten\Avira

2010-12-28 00:04 . 2010-12-28 00:14        --------        d-----w-        c:\dokumente und einstellungen\timur\Anwendungsdaten\PacificPoker

2010-12-28 00:04 . 2011-01-02 01:58        --------        d-----w-        c:\programme\PacificPoker

2010-12-27 18:50 . 2010-12-13 07:39        135096        ----a-w-        c:\winxp\system32\drivers\avipbb.sys

2010-12-27 18:50 . 2010-12-13 07:39        61960        ----a-w-        c:\winxp\system32\drivers\avgntflt.sys

2010-12-27 18:50 . 2010-06-17 13:27        45416        ----a-w-        c:\winxp\system32\drivers\avgntdd.sys

2010-12-27 18:50 . 2010-06-17 13:27        22360        ----a-w-        c:\winxp\system32\drivers\avgntmgr.sys

2010-12-27 18:50 . 2010-12-27 18:50        --------        d-----w-        c:\programme\Avira

2010-12-27 18:50 . 2010-12-27 18:50        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2010-12-22 20:20 . 2010-12-22 20:20        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-08 14:48 . 2010-11-08 14:50        917504        ----a-w-        c:\winxp\system\cmids3d.dll

2010-11-08 14:48 . 2010-11-08 14:50        754560        ----a-w-        c:\winxp\system32\drivers\cmuda.sys

2010-11-08 14:48 . 2010-11-08 14:50        32768        ----a-w-        c:\winxp\system32\udaprop.dll

2010-11-08 14:48 . 2010-11-08 14:50        28672        ----a-w-        c:\winxp\system32\cmirmdrv.dll

2010-11-08 14:48 . 2010-11-08 14:50        233472        ----a-w-        c:\winxp\system32\cmirmdrv.exe

2010-11-08 14:48 . 2010-11-08 14:50        1454080        ----a-w-        c:\winxp\system\SmWizard.exe

2010-11-08 14:48 . 2010-11-08 14:50        114688        ----a-w-        c:\winxp\system32\cmuda.dll

2010-11-08 14:48 . 2010-11-08 14:50        712704        ----a-w-        c:\winxp\system32\Audio3D.dll

2010-11-08 14:48 . 2010-11-08 14:50        712704        ----a-w-        c:\winxp\system32\a3d.dll

2010-10-22 11:43 . 2010-10-22 11:43        499712        ----a-w-        c:\winxp\system32\msvcp71.dll

2010-10-22 11:43 . 2010-10-22 11:43        348160        ----a-w-        c:\winxp\system32\msvcr71.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2008-02-12 124928]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5432:TCP"= 5432:TCP:postgres
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.12.2010 19:50 135336]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

FF - ProfilePath - c:\dokumente und einstellungen\timur\Anwendungsdaten\Mozilla\Firefox\Profiles\9c4z9fbo.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: network.proxy.type - 0

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-PCSpeedUp - c:\programme\PC Beschleunigen\PCSpeedUp.exe

HKLM-Run-Cmaudio - cmicnfg.cpl
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-01-15 20:52

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(3140)

c:\winxp\system32\wpdshserviceobj.dll

c:\winxp\system32\portabledevicetypes.dll

c:\winxp\system32\portabledeviceapi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\winxp\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-01-15  20:59:03 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-01-15 19:58
 

Vor Suchlauf: 1.988.304.896 Bytes frei

Nach Suchlauf: 2.121.609.216 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINXP

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - 811479958EBE7B3846D18343DAE2585D

--- --- ---

seit der insterlation von otl hab ich ne datei auf m desktop die videoplayback
heisst. ist das normal?

Hallo

EDIT:
Seite 2 nicht gelesen...

MFG

die kannst du löschen, sollte aber nicht zu otl gehören...
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Guten Abend zusammen

hab 4 infizierte dateien gehabt.hab sie nach dem scannen gelöscht
im Quarantäneordner hab ich noch folgende Dateien:

BACKUP1.17692
BACKUP1.20377
BACKUP1.50810
BACKUP1.86929
QUAR1.17692
QUAR1.20377
QUAR1.50810
QUAR1.86929

muss ich die nur löschen?
nochwas wenn ich in der systemsteuerung software öffne
ist die Liste leer

hallo markusg
wollte mal fragen ob es das jetzt war oder nicht.
Und ich hab immernoch ne leere liste unter systemsteuerung-software.
Meld dich doch mal bitte wenn du on bist.

Danke dir

hallo marcus
bist du im urlaub oder warum bist du aufeinmal nie on?
meld dich doch mal bitte.ich würde gerne einpaar software`s deinstallieren
da softwareliste unter systemsteuerung leer ist kann ich dies nicht.
wenn mir jemand anders auch weiterhelfen kann wäre das auch sehr korrekt

sorry hab den komplett aus den augen verloren.
wo ist das malwarebytes log?

hallo markus
hab den log auf der 2ten seite gepostet. hier ist er nochmal

hab malewareb. nochmal durchlaufen lassen

wo ist das log mit den infizierten dateien... du findest es unter malwarebytes, logdateien.

das waren alle logdateien in dem ordner.
als ich malewareb. ausgeführt habe hat er mir 4x die datei Casino.ini
als infizierte datei angezeigt die ich dann gelöscht habe

ist dein pc immernoch langsam?
welche probleme bestehen noch außer das mit der software liste?

Ja mein pc ist immernoch langsam. Aber mitlerweile glaube ich das es daran liegt das mein pc uhralt ist und meine Festplatte bis auf 2GB voll ist.wir haben ja nichts besonderes gefunden ausser die 4 infizierten casino.ini dateien.kann es eigentlich auch an registrierungseinträgen liegen.ich bin nämlich echt bei gott und der welt angemeldet.
(in vielen foren und anbietern).oder daran das ich im taskmanager 5x svhost.exe am laufen hab.hast du eigentlich ne ahnung was diese casino.ini datei ist.?
ich dank dir.
ist spät ich geh jetzt ratzen.
Bis Morgen