Backdoor / rootkit doersam daily |
Willkommen, Gast ( Anmelden | Registrierung )
Backdoor / rootkit doersam daily |
06.01.2010, 05:39
Beitrag
#1
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
Hallo (mal wieder)
Hab mich lange nicht mehr sehen lassen, an dieser Stelle sorry dafür. Aber nundenn ... ich hab ein Problem ... es handet sich hierbei um ein Trojaner und / oder Virus der mir gefaikte Windows Sicherheitscenter Meldungen schickt und mir mein Anti viren Programm killt genauso wie den Malwarebytes' Anti-Malwareund sowas... Hier mal meine Loggfile (die BOLD Punkte sind denke ich verdächtiug) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:32:15, on 06.01.2010 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16386) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Toolbar\wltuser.exe C:\Windows\system32\wuauclt.exe C:\Windows\system32\DllHost.exe C:\Program Files\Internet Explorer\Iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\RunDLL32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [SPIRunE] Rundll32 SPIRunE.dll,RunDLLEntry O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user') O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://ccfiles.creative.com/Web/softwareup...15108/CTPID.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Google Update Service (gupdate1ca30ead1ed1c8b) (gupdate1ca30ead1ed1c8b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- End of file - 6345 bytes //edit ... ähm wäre nett wenn ich mein system wieder clean bekommen würde ohne die schnell formatier lösung ;/ mfg Der Beitrag wurde von r00t bearbeitet: 06.01.2010, 05:40 -------------------- |
|
|
06.01.2010, 07:28
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Poste mal bitte zwei AVZ logs wie hier beschrieben wird:
http://freenet-homepage.de/rene-gad/AVZ/AVZAnleitung.html Poste ebenfalls ein gMer log: http://www.hijackthis-forum.de/tipps-trick...nleitungen.html (Nur den ersten lauf durchführen!) -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
08.01.2010, 05:50
Beitrag
#3
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
Moin Moin ...
So sorry hat etwas gedauert nettes rootkit was ich da wohl habe -.- AVZ hat nach 10 stunden scann bei 99% aufgegeben und ich hatte einen Bluescreen ... naja denn habe ich gegoogelt und bin auf Dr Web gestosen und hab den ma scannen lassen da ja meine anderen Viren Scanner gekilled werden ... Dr Web sagt mir backdoor.tdss.565 hat sich bei mir breit gemacht. Ich habe nun nach diesem Dingerich gesucht im internet und bin im Trojaner Board fündig geworden ... ZITAT bis auf wenige Scanner findet keiner den TDSS (ist ein sehr intelligentes und gut programmiertes Rootkit, fast nicht zu finden&zu beseitigen... zur Zeit tobt der Kampf darum...)... Naja Ich habe nun mit RSIT einen Scann gemacht den ich hier gleich posten werde und danach nochmal mit Gmer geschaut ... folgendes ist dabei rausgekommen : RSIT LOG ! Logfile of random's system information tool 1.06 (written by random/random) Run by n3tgh0st at 2010-01-08 05:13:26 Microsoft® Windows Vista™ Business System drive C: has 30 GB (38%) free of 79 GB Total RAM: 3326 MB (68% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:13:27, on 08.01.2010 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16386) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Toolbar\wltuser.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Java\jre6\bin\jucheck.exe C:\Program Files\Internet Explorer\Iexplore.exe C:\Users\n3tgh0st\Desktop\RSIT.exe C:\Program Files\Trend Micro\HijackThis\n3tgh0st.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [SPIRunE] Rundll32 SPIRunE.dll,RunDLLEntry O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user') O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://ccfiles.creative.com/Web/softwareup...15108/CTPID.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Google Update Service (gupdate1ca30ead1ed1c8b) (gupdate1ca30ead1ed1c8b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- End of file - 6304 bytes ======Scheduled tasks folder====== C:\Windows\tasks\GoogleUpdateTaskMachineCore.job C:\Windows\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-09-16 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-09-16 41368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}] Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E5A1691B-D188-4419-AD02-90002030B8EE}] FlashFXP Helper for Internet Explorer - C:\PROGRA~1\FlashFXP\IEFlash.dll [2007-05-16 191096] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808] {21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "VolPanel"=C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe [2007-04-17 184320] "SPIRunE"=Rundll32 SPIRunE.dll,RunDLLEntry [] "CmPCIaudio"=RunDll32 cmicnfg3.cpl,CMICtrlWnd [] "SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-09-16 148888] "NeroFilterCheck"=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [2007-02-26 153136] "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696] "Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CurseClient] C:\Program Files\Curse\CurseClient.exe [2009-06-08 1934336] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe [2007-06-18 271360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] C:\Program Files\Skype\Phone\Skype.exe [2009-07-16 25604904] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe [2007-03-03 341488] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=0 "ConsentPromptBehaviorUser"=0 "EnableLUA"=0 "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Program Files\FlashFXP\FlashFXP.exe"="C:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "C:\Program Files\FlashFXP\FlashFXP.exe"="C:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3" ======List of files/folders created in the last 1 months====== 2010-01-08 05:13:26 ----D---- C:\rsit 2010-01-07 01:00:03 ----D---- C:\Program Files\AVZ 2010-01-06 04:25:31 ----A---- C:\Windows\ntbtlog.txt 2010-01-06 04:14:31 ----D---- C:\ProgramData\Malwarebytes 2010-01-06 04:14:31 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2010-01-06 04:11:13 ----D---- C:\Program Files\CCleaner 2010-01-06 03:38:07 ----D---- C:\Program Files\Trend Micro 2010-01-06 03:14:00 ----D---- C:\ProgramData\Avira 2010-01-06 03:14:00 ----D---- C:\Program Files\Avira 2010-01-05 20:27:14 ----A---- C:\Windows\system32\krl32mainweq.dll 2010-01-05 20:25:37 ----A---- C:\ProgramData\sysReserve.ini 2010-01-04 04:15:02 ----A---- C:\lol.vbs 2010-01-01 15:42:06 ----D---- C:\Users\n3tgh0st\AppData\Roaming\UDC Profiles 2010-01-01 15:41:49 ----A---- C:\Windows\system32\udcpm.dll 2010-01-01 15:41:43 ----D---- C:\Program Files\Universal Document Converter 2010-01-01 15:35:48 ----D---- C:\ProgramData\Adobe 2010-01-01 15:35:38 ----D---- C:\Program Files\Common Files\Adobe 2010-01-01 15:35:38 ----D---- C:\Program Files\Adobe 2009-12-31 13:15:24 ----D---- C:\Program Files\Nero 2009-12-31 13:15:24 ----D---- C:\Program Files\Common Files\Ahead 2009-12-31 12:54:49 ----D---- C:\Users\n3tgh0st\AppData\Roaming\Nero 2009-12-31 12:41:15 ----D---- C:\ProgramData\Nero 2009-12-31 12:41:14 ----D---- C:\Program Files\Common Files\Nero 2009-12-13 13:56:04 ----D---- C:\Users\n3tgh0st\AppData\Roaming\Acreon ======List of files/folders modified in the last 1 months====== 2010-01-08 05:13:27 ----D---- C:\Windows\Prefetch 2010-01-08 05:07:52 ----D---- C:\Program Files\Mozilla Firefox 2010-01-08 05:06:08 ----D---- C:\Windows\Temp 2010-01-08 05:06:08 ----D---- C:\Windows\System32 2010-01-08 05:05:31 ----D---- C:\ProgramData\NVIDIA 2010-01-08 05:05:07 ----D---- C:\Windows\Minidump 2010-01-08 05:05:02 ----D---- C:\Windows 2010-01-07 23:24:33 ----D---- C:\Users\n3tgh0st\AppData\Roaming\Mumble 2010-01-07 09:09:16 ----A---- C:\Windows\NeroDigital.ini 2010-01-07 01:01:41 ----D---- C:\Windows\system32\drivers 2010-01-07 01:00:15 ----RD---- C:\Program Files 2010-01-07 00:50:52 ----D---- C:\Program Files\Curse 2010-01-06 13:17:26 ----SHD---- C:\System Volume Information 2010-01-06 04:14:31 ----HD---- C:\ProgramData 2010-01-06 04:13:51 ----D---- C:\Windows\Debug 2010-01-06 03:28:38 ----D---- C:\Windows\system32\catroot2 2010-01-06 03:11:30 ----SHD---- C:\Windows\Installer 2010-01-06 03:11:29 ----D---- C:\Windows\winsxs 2010-01-05 21:29:09 ----D---- C:\Users\n3tgh0st\AppData\Roaming\ICQ 2010-01-01 23:25:42 ----D---- C:\Windows\inf 2010-01-01 23:25:42 ----A---- C:\Windows\system32\PerfStringBackup.INI 2010-01-01 15:37:18 ----D---- C:\Users\n3tgh0st\AppData\Roaming\Adobe 2010-01-01 15:35:38 ----D---- C:\Program Files\Common Files 2009-12-31 12:40:32 ----D---- C:\Windows\system32\Tasks 2009-12-31 12:40:05 ----D---- C:\Program Files\Common Files\microsoft shared 2009-12-30 11:43:44 ----D---- C:\Program Files\ICQ6.5 2009-12-28 01:31:51 ----D---- C:\Users\n3tgh0st\AppData\Roaming\mIRC 2009-12-27 10:59:24 ----D---- C:\Program Files\mIRC 2009-12-23 19:19:25 ----D---- C:\Users\n3tgh0st\AppData\Roaming\teamspeak2 ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2006-11-02 319488] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R3 cmuda3;TerraTec Aureon 5.1 Audio Interface; C:\Windows\system32\drivers\cmudax3.sys [2007-04-12 1399680] R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2006-10-18 7680] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\Windows\system32\DRIVERS\nvmfdx32.sys [2007-05-03 1065384] R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2009-07-14 9557216] S2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-11-25 56816] S3 c65013264;C-Media CM6501 Like Sound UDAX Interface; C:\Windows\system32\drivers\c6501.sys [] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632] S3 fssfltr;FssFltr; C:\Windows\system32\DRIVERS\fssfltr.sys [2009-08-05 54632] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016] S3 nmwcd;Nokia USB Phone Parent; C:\Windows\system32\drivers\nmwcd.sys [2007-02-22 137216] S3 nmwcdc;Nokia USB Generic; C:\Windows\system32\drivers\nmwcdc.sys [2007-02-22 8320] S3 nmwcdcj;Nokia USB Port; C:\Windows\system32\drivers\nmwcdcj.sys [2007-02-22 12288] S3 nmwcdcm;Nokia USB Modem; C:\Windows\system32\drivers\nmwcdcm.sys [2007-02-22 12288] S3 t3;Sound Blaster X-Fi Xtreme Audio; C:\Windows\system32\drivers\t3.sys [2009-06-04 413208] S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2006-11-02 71552] S3 utczmjuz;AVZ Kernel Driver; \??\C:\Windows\system32\Drivers\utczmjuz.sys [2010-01-07 7168] S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2006-11-02 39936] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2006-11-02 82560] S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Capture Device Service;Capture Device Service; C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe [2007-03-06 198168] R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2006-11-02 22016] R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-07-14 215584] R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656] R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-07-14 239648] S2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] S2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] S2 gupdate1ca30ead1ed1c8b;Google Update Service (gupdate1ca30ead1ed1c8b); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-09-09 133104] S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2006-11-02 22016] S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service; C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2009-08-13 79360] S3 Fax;@%systemroot%\system32\fxsresm.dll,-118; C:\Windows\system32\fxssvc.exe [2006-11-02 521216] S3 fsssvc;Windows Live Family Safety-Dienst; C:\Program Files\Windows Live\Family Safety\fsssvc.exe [2009-08-05 704864] S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2007-02-26 267824] S3 ServiceLayer;ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2007-06-15 300544] S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2006-11-02 22016] S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2006-11-02 562176] -----------------EOF----------------- -------------------- |
|
|
08.01.2010, 05:53
Beitrag
#4
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
Sorry für Doppelpost
RSIT INFO info.txt logfile of random's system information tool 1.06 2010-01-08 05:13:28 ======Uninstall list====== -->"C:\Program Files\InstallShield Installation Information\{BB8AE808-F003-4C7F-B56B-8C80EEAFFE23}\setup.exe" --u:{BB8AE808-F003-4C7F-B56B-8C80EEAFFE23} -->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER -->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL -->C:\Windows\UNNeroMediaHome.exe /UNINSTALL -->C:\Windows\UNNeroShowTime.exe /UNINSTALL -->C:\Windows\UNNeroVision.exe /UNINSTALL -->C:\Windows\UNRecode.exe /UNINSTALL -->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974} -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AA9944C8-7D34-475E-8C90-2788685B2C47}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AA9944C8-7D34-475E-8C90-2788685B2C47}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AAEF329E-F353-46C9-933D-24A571986093}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CC3D3A93-C433-4329-AC3A-7EFC52A332C2}\setup.exe" -l0x9 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CC3D3A93-C433-4329-AC3A-7EFC52A332C2}\setup.exe" -l0x9 /remove -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ECC3C64B-2A22-48C5-857B-E952D7BE64F5}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ECC3C64B-2A22-48C5-857B-E952D7BE64F5}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7 /remove Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001} Aureon 5.1 PCI-->C:\Windows\system32\Cmeaupci.exe /rm /ppci8768 Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE AVS Update Manager 1.0-->"C:\Program Files\AVS4YOU\AVSUpdateManager\unins000.exe" AVS Video Converter 6-->"C:\Program Files\AVS4YOU\AVSVideoConverter6\unins000.exe" AVS4YOU Software Navigator 1.3-->"C:\Program Files\AVS4YOU\AVSSoftwareNavigator\unins000.exe" CCleaner-->"C:\Program Files\CCleaner\uninst.exe" Codec Pack - All In 1 6.0.3.0-->C:\Windows\iun6002.exe "C:\Program Files\Codec Pack - All In 1\irunin.ini" Curse Client-->C:\Program Files\Curse\uninstall.exe DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe" FlashFXP v3-->"C:\Program Files\FlashFXP\Uninstall.exe" "C:\Program Files\FlashFXP\install.log" -u Fraps-->"C:\Fraps\uninstall.exe" Google Chrome-->"C:\Program Files\Google\Chrome\Application\3.0.195.38\Installer\setup.exe" --uninstall --system-level Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Host OpenAL-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AAEF329E-F353-46C9-933D-24A571986093}\setup.exe" -l0x7 /remove ICQ Status Checker 1.6-->"C:\Program Files\ICQ Status Checker\unins000.exe" ICQ Toolbar-->C:\Program Files\ICQ6Toolbar\ICQUnToolbar.exe ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly InterVideo DeviceService-->MsiExec.exe /I{521AAD14-5030-44BB-8B0E-5CE65FCE57E0} Java 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5} Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570} Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E} Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00} Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8} Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5} Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} mIRC-->C:\Program Files\mIRC\uninstall.exe _?=C:\Program Files\mIRC Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94} Mumble and Murmur-->C:\Program Files\Mumble\Uninstall.exe Nero 7 Essentials-->MsiExec.exe /X{81CD6232-10F5-4832-B3DA-1B88B1571031} neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} Nokia Connectivity Cable Driver-->MsiExec.exe /X{11964613-805F-432D-A12B-169554B793E7} Nokia PC Suite-->C:\ProgramData\Installations\{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Nokia_PC_Suite_6_84_10_3_EA.exe Nokia PC Suite-->MsiExec.exe /I{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72} NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974} NVIDIA Stereoscopic 3D Driver-->"C:\Program Files\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask PC Connectivity Solution-->MsiExec.exe /I{99A40651-0BC2-4095-8F9A-A40FAB224FEF} Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748} Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36} Sound Blaster X-Fi-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0C9D0200-FA32-44B7-BBB3-7C03F700C4A0}\SETUP.EXE" -l0x7 /remove TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe" TeamSpeak 2 Server RC2-->"C:\Program Files\Teamspeak2_RC2\unins001.exe" Thoosje Vista Tweaker-->C:\Program Files\Thoosje Vista Tweaker\Uninstal.exe Ulead VideoStudio 11-->C:\Program Files\InstallShield Installation Information\{F99F9E24-EE2F-47FD-AEB0-FDB82859B5C9}\setup.exe -runfromtemp -l0x0409 Universal Document Converter (Demo)-->"C:\Program Files\Universal Document Converter\unins000.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F} Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4} Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6} Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52} Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F} Windows Live Family Safety-->MsiExec.exe /X{994223F3-A99B-4DDD-9E1D-0190A17C6860} Windows Live Fotogalerie-->MsiExec.exe /X{2BA722D1-48D1-406E-9123-8AE5431D63EF} Windows Live Mail-->MsiExec.exe /I{C4D738F7-996A-4C81-B8FA-C4E26D767E41} Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB} Windows Live Movie Maker-->MsiExec.exe /X{3EFEF049-23D4-4B46-8903-4592FEA51018} Windows Live Sync-->MsiExec.exe /X{76618402-179D-4699-A66B-D351C59436BC} Windows Live Toolbar-->MsiExec.exe /X{70B7A167-0B88-445D-A3EA-97C73AA88CAC} Windows Live Writer-->MsiExec.exe /X{E0A4805D-280A-4DD7-9E74-3A5F85E302A1} Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238} Windows-Treiberpaket - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\pccswpddriver.inf_a419b392\pccswpddriver.inf Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\pccs_bluetooth.inf_48f6f624\pccs_bluetooth.inf Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\pccs_bluetooth.inf_51d2d3e1\pccs_bluetooth.inf Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\nokbtmdm.inf_e5643fdd\nokbtmdm.inf WinRAR-->C:\Program Files\WinRAR\uninstall.exe =====HijackThis Backups===== O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) [2010-01-06] O4 - HKCU\..\Run: [settdebugx.exe] C:\Users\n3tgh0st\AppData\Local\Temp\settdebugx.exe [2010-01-06] R3 - URLSearchHook: (no name) - - (no file) [2010-01-06] O4 - HKCU\..\Run: [Malware Defense] "C:\Program Files\Malware Defense\mdefense.exe" -noscan [2010-01-06] O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2010-01-06] ======Security center information====== AV: AntiVir Desktop (disabled) (outdated) AV: Malware Defense (outdated) AS: AntiVir Desktop (disabled) (outdated) AS: Windows-Defender (outdated) ======System event log====== Computer Name: elite Event Code: 7036 Message: Dienst "Netzwerkverbindungen" befindet sich jetzt im Status "Ausgeführt". Record Number: 34663 Source Name: Service Control Manager Time Written: 20100108040657.000000-000 Event Type: Informationen User: Computer Name: elite Event Code: 7036 Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 34664 Source Name: Service Control Manager Time Written: 20100108040748.000000-000 Event Type: Informationen User: Computer Name: elite Event Code: 7036 Message: Dienst "SSDP-Suche" befindet sich jetzt im Status "Ausgeführt". Record Number: 34665 Source Name: Service Control Manager Time Written: 20100108040748.000000-000 Event Type: Informationen User: Computer Name: elite Event Code: 7036 Message: Dienst "KtmRm für Distributed Transaction Coordinator" befindet sich jetzt im Status "Ausgeführt". Record Number: 34666 Source Name: Service Control Manager Time Written: 20100108040748.000000-000 Event Type: Informationen User: Computer Name: elite Event Code: 7036 Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt". Record Number: 34667 Source Name: Service Control Manager Time Written: 20100108040749.000000-000 Event Type: Informationen User: =====Application event log===== Computer Name: elite Event Code: 5617 Message: Die Subsysteme des Windows-Verwaltungsinstrumentationsdienstes wurden erfolgreich initialisiert. Record Number: 17240 Source Name: Microsoft-Windows-WMI Time Written: 20100108040536.000000-000 Event Type: Informationen User: Computer Name: elite Event Code: 1003 Message: Der Windows-Suchdienst wurde gestartet. Record Number: 17241 Source Name: Microsoft-Windows-Search Time Written: 20100108040545.000000-000 Event Type: Informationen User: Computer Name: elite Event Code: 1 Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet. Record Number: 17242 Source Name: Microsoft-Windows-CertificateServicesClient Time Written: 20100108040545.911144-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: elite Event Code: 1 Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet. Record Number: 17243 Source Name: Microsoft-Windows-CertificateServicesClient Time Written: 20100108040546.021144-000 Event Type: Informationen User: elite\n3tgh0st Computer Name: elite Event Code: 1000 Message: Fehlerhafte Anwendung mbam.exe, Version 1.43.0.0, Zeitstempel 0x4b3bba31, fehlerhaftes Modul mbam.exe, Version 1.43.0.0, Zeitstempel 0x4b3bba31, Ausnahmecode 0x80000003, Fehleroffset 0x00003114, Prozess-ID 0xda8, Anwendungsstartzeit 01ca9017ef5e4801. Record Number: 17244 Source Name: Application Error Time Written: 20100108040621.000000-000 Event Type: Fehler User: =====Security event log===== Computer Name: elite Event Code: 4672 Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Record Number: 23909 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100108040531.900144-000 Event Type: Überwachung erfolgreich User: Computer Name: elite Event Code: 4648 Message: Anmeldeversuch mit expliziten Anmeldeinformationen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: ELITE$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Konto, dessen Anmeldeinformationen verwendet wurden: Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Zielserver: Zielservername: localhost Weitere Informationen: localhost Prozessinformationen: Prozess-ID: 0x208 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Netzwerkadresse: - Port: - Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird. Record Number: 23910 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100108040531.957144-000 Event Type: Überwachung erfolgreich User: Computer Name: elite Event Code: 4624 Message: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: ELITE$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x208 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Record Number: 23911 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100108040531.957144-000 Event Type: Überwachung erfolgreich User: Computer Name: elite Event Code: 4672 Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Record Number: 23912 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100108040531.957144-000 Event Type: Überwachung erfolgreich User: Computer Name: elite Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Users\n3tgh0st\AppData\Local\Temp\08N6we8a.sys Record Number: 23913 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100108040645.601144-000 Event Type: Überwachung gescheitert User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\DivX Shared\;C:\Program Files\Common Files\Ulead Systems\MPEG "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=x86 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 67 Stepping 3, AuthenticAMD "PROCESSOR_REVISION"=4303 "NUMBER_OF_PROCESSORS"=2 -----------------EOF----------------- Und Nun GMER : GMER 1.0.15.15281 - http://www.gmer.net Rootkit quick scan 2010-01-08 05:27:51 Windows 6.0.6000 Running: g3ivwks3.exe; Driver: C:\Users\n3tgh0st\AppData\Local\Temp\uxrdapow.sys ---- System - GMER 1.0.15 ---- Code 86D80120 ZwEnumerateKey Code 86DA9120 ZwFlushInstructionCache Code 86C8D11D IofCallDriver Code 86CF911E IofCompleteRequest ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation) ---- Services - GMER 1.0.15 ---- Service C:\Windows\system32\drivers\H8SRTexunyhvbwh.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- Ich hoffe man kann mir noch helfen ... mfg r00t -------------------- |
|
|
08.01.2010, 05:57
Beitrag
#5
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Wir versuchen mal was . Lade dir Mbam herunter und speichere es unter anderem Namen (test.com o.ae).
Starte es nicht. Lade Avenger http://swandog46.geekstogo.com/avenger.exe speichere es ebenfalls unter einem anderen Namen und starte es. Hake zusaetzlich "automatically disable any rootkit found" an, druecke execute und lass den Rechner neu starten. Danach installiere Mbam und aktualisiere es, wie in obigem Link beschrieben. Danach mache einen quickscan und lasse alle Funde loeschen. Poste den Avenger und Mbam Report. -------------------- MfG Ralf
|
|
|
08.01.2010, 07:16
Beitrag
#6
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
So.. wie gut das ich nicht schlafen konnte ...
Folgendes habe ich gemacht : Ich hab mit GMER ja schon das Rootkit gefunden gehabt und gelöscht (nachdem ich den Scann gemacht hatte und nach meinem lvorletzten post) ich hatte denn neu gebootet und mein Anti Vir ging an... anyway ich habe trotzdem nochmal alles durchgeführt was du sagtest und hatte wohl erfolg. Log : Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3458 Windows 6.0.6000 Internet Explorer 7.0.6000.16386 08.01.2010 07:07:25 mbam-log-2010-01-08 (07-07-25).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 94862 Laufzeit: 4 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\System32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\Windows\System32\H8SRTbuuxpsipkq.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Windows\System32\H8SRTnulmrbkkor.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Windows\System32\H8SRTlrrgunpfkf.dat (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Users\n3tgh0st\AppData\Local\Temp\H8SRT3735.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. Mein Pc ist nun auch wieder schneller und alles funzt richtig soweit ich es bis jetzt sehe aber ich werde wohl nochmal einen Scann machen zur sicherheit oder ? Danke schonmal für die Hilfe Raman... mfg -------------------- |
|
|
08.01.2010, 08:30
Beitrag
#7
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Du solltest Mbam aktualisieren, deines ist relativ veraltet. En paar Kontrollscans mit Drweb Cureit oder KAVS AVP tool koennten nicht schaden. a2 hat wohl auch einen Online oder "scanonly" Version. Damit kannst du auch gerne Kontrollscans machen
Schau, ob du diese Dinge bei dir finden kannst: c:\recycler\S-1-5-21-3239730011-776884081-2994033645-500 c:\windows\kb913800.exe Du solltest auf alle Faelle, sofern du nicht neu aufsetzen willst, dein Vista auf den neusten Stand bringen(sp2) und deine Passworte aendern... -------------------- MfG Ralf
|
|
|
08.01.2010, 09:13
Beitrag
#8
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
Moin
also diese datein habe ich beide nicht ... passwörter hab ich eh schon geändert und naja ne möchte nicht umbedingt neu aufsetzen ... öhm aber hätte sonst noch eine Frage... also das rootkit versteckt den Trojaner wenn ich richtig verstanden hab ... aber normal sollte man doch net merken das man nen trojaner drauf hat ... ich hingegen hab sofort 90% system auslastung gehabt und irgendwelche porno links auf dem desktop mfg -------------------- |
|
|
08.01.2010, 09:37
Beitrag
#9
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.492 Mitglied seit: 21.12.2008 Mitglieds-Nr.: 7.287 Betriebssystem: Arch, Win 8 Pro Virenscanner: EAM Firewall: Win |
Neuaufsetzen ist das beste was du machen kannst. Es ist völlig Sinnfrei, die Passwörter auf einem infizierten Rechner zu ändern. Läuft z.B.versteckt ein Keylogger hat dieser bereits die neuen Kennwörter übermittelt.
Wenn ohne dein zutun irgendwelche Datein oder Verknüpfung auf deinen Rechner erscheinen, dann hat jemand deinen Rechner gekapert und nutzt diesen für Datentransfers oder ober du bist an einem Botnetz angeschlossen. aido Der Beitrag wurde von aido bearbeitet: 08.01.2010, 09:38 -------------------- System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
------------------------------------------------------------------------------------------------------------- serpent's embrace Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA |
|
|
08.01.2010, 09:51
Beitrag
#10
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
Es ist völlig Sinnfrei, die Passwörter auf einem infizierten Rechner zu ändern. Ja aber nicht wenn du deine passwörter auf einem anderen rechner geändert hast und wenn der infizierte rechner wieder sauber ist sehe ich keinen grund zu formatieren -------------------- |
|
|
08.01.2010, 10:10
Beitrag
#11
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Frage ist, ob wir alles erwischt haben. Wenn du mutig genug bist, laesst du Combofix als Administrator und mit ausgeschaltetem AV Guard laufen, das wird dir uU noch einiges mehr rausloeschen, was wir so nicht sehen.
BTW: Was steht in folgenden Dateien? C:\ProgramData\sysReserve.ini C:\lol.vbs -------------------- MfG Ralf
|
|
|
08.01.2010, 15:55
Beitrag
#12
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.492 Mitglied seit: 21.12.2008 Mitglieds-Nr.: 7.287 Betriebssystem: Arch, Win 8 Pro Virenscanner: EAM Firewall: Win |
@r00t
Du bist Lustig Auch wenn du die Kennwörter über eine saubere Verbindung (sprich: Rechner) geändert hast, kann eine möglicherweise nocht aktive Schadsoftware die Daten während der Eingabe ablesen. Somit sind diese wieder Obsolet. Eine Kompromittierung läst sich weiterhin nicht ausschliessen. Die Zeit die du jetzt dafür verwendest dein System zu säubern hättest locker ein neues System aufspielen können. Selbst @raman ist sich nicht sicher ob alles weg ist. Es gibt zwei Möglichkeiten um ein sauberes System wieder zu erlangen: 1. Neuistallation 2. Sauberes Image Alles andere macht die Sache nur nocht schlimmer. Bist du dir Sicher das alles weg ist? Bedenke bitte das jeglicher Kontakt mit dem Internet zu deinen Bekannten auch diese der Gefahr aussetzt, Kompromittiert zu werden. aido -------------------- System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
------------------------------------------------------------------------------------------------------------- serpent's embrace Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA |
|
|
08.01.2010, 16:24
Beitrag
#13
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
In der sysreserve.ini steht nur "285 new" und lol.vbs ist ein Script von mir also das passt ... ich werde ma Anti Vir ausmachen und Combo drüber rennen lassen.
@aido Es ist ja nun auch nicht so das es mir lachs ist ob da noch was auf meinem Pc ist aber wenn die kompremierten datein weg sind und alles aus dem system raus ist dürfte es ja sauber sein zumal wieder alles geht... ich bin eben echt kein freund vom "platt machen" . Klar ist es denn 100% das nichts mehr drauf ist aber so sollte man sich auch schon sicher sein können ... -------------------- |
|
|
08.01.2010, 16:50
Beitrag
#14
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.492 Mitglied seit: 21.12.2008 Mitglieds-Nr.: 7.287 Betriebssystem: Arch, Win 8 Pro Virenscanner: EAM Firewall: Win |
Ok, denk bitte nicht ich wollte dir an den Karren fahren
Ich sag mal wie ich das mache, wenn ich einen Verdacht habe (Gottseidank in den letzten Jahren nicht). Ich mache von meinem System regelmässig Backups davon behalte ich Images von ca. 3 Wochen. Sollte irgendetwas nicht stimmen, dann spiele ich einfach ein Image zurück. Je nach System und Hardware dauert das ganze nicht einmal 10 Minuten und alles ist wieder ok. Diese Strategie hat mir nicht nur bei Malware geholfen sondern auch bei allen Installationsprozessen. Natürliich ist es Interessant zu Suchen und Finden. Herauszufinden woran das gelegen hat und wie man der Sache Herr werden kann. Aber dananch wird ein Image zurückgespielt, alles ist sauber und du bist eine Erfahrung reicher. -------------------- System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
------------------------------------------------------------------------------------------------------------- serpent's embrace Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA |
|
|
08.01.2010, 16:50
Beitrag
#15
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
Combofix.log
ComboFix 10-01-04.01 - n3tgh0st 08.01.2010 16:30:46.1.2 - x86 Microsoft® Windows Vista™ Business 6.0.6000.0.1252.49.1031.18.3326.2457 [GMT 1:00] ausgeführt von:: c:\users\n3tgh0st\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} SP: AntiVir Desktop *disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} SP: Windows-Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-918056312-2952985149-2686913973-500 c:\program files\ICQ6.5\ICQLRun.exe c:\users\n3tgh0st\AppData\Roaming\Desktopicon c:\users\n3tgh0st\AppData\Roaming\Desktopicon\eBayShortcuts.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-12-08 bis 2010-01-08 )))))))))))))))))))))))))))))) . 2010-01-08 15:34 . 2010-01-08 15:34 -------- d-----w- c:\users\Default\AppData\Local\temp 2010-01-08 05:56 . 2010-01-08 05:56 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Malwarebytes 2010-01-08 04:13 . 2010-01-08 04:13 -------- d-----w- C:\rsit 2010-01-07 00:01 . 2010-01-07 00:01 7168 ----a-w- c:\windows\system32\drivers\utczmjuz.sys 2010-01-07 00:00 . 2010-01-07 00:01 -------- d-----w- c:\program files\AVZ 2010-01-06 06:27 . 2010-01-06 07:19 -------- d-----w- c:\users\n3tgh0st\DoctorWeb 2010-01-06 03:14 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-06 03:14 . 2010-01-06 03:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-01-06 03:14 . 2010-01-06 03:14 -------- d-----w- c:\programdata\Malwarebytes 2010-01-06 03:14 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-06 03:11 . 2010-01-06 03:11 -------- d-----w- c:\program files\CCleaner 2010-01-06 02:38 . 2010-01-06 02:38 -------- d-----w- c:\program files\Trend Micro 2010-01-06 02:14 . 2010-01-08 05:49 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-01-06 02:14 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-01-06 02:14 . 2010-01-06 02:14 -------- d-----w- c:\programdata\Avira 2010-01-06 02:14 . 2010-01-06 02:14 -------- d-----w- c:\program files\Avira 2010-01-04 03:18 . 2010-01-04 03:11 2289 ----a-w- c:\users\n3tgh0st\lol.vbs 2010-01-04 03:15 . 2010-01-04 03:11 2289 ----a-w- C:\lol.vbs 2010-01-01 14:42 . 2010-01-01 14:42 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\UDC Profiles 2010-01-01 14:41 . 2009-09-04 14:09 34680 ----a-w- c:\windows\system32\udcpm.dll 2010-01-01 14:41 . 2010-01-01 14:41 -------- d-----w- c:\program files\Universal Document Converter 2010-01-01 14:37 . 2010-01-01 14:40 -------- d-----w- c:\users\n3tgh0st\AppData\Local\Adobe 2010-01-01 14:35 . 2010-01-01 14:35 -------- d-----w- c:\program files\Common Files\Adobe 2009-12-31 12:15 . 2009-12-31 12:19 -------- d-----w- c:\program files\Common Files\Ahead 2009-12-31 12:15 . 2009-12-31 12:15 -------- d-----w- c:\program files\Nero 2009-12-31 11:54 . 2009-12-31 11:54 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Nero 2009-12-31 11:41 . 2009-12-31 12:15 -------- d-----w- c:\programdata\Nero 2009-12-31 11:41 . 2009-12-31 12:10 -------- d-----w- c:\program files\Common Files\Nero 2009-12-13 12:56 . 2009-12-13 12:56 272384 ----a-w- c:\users\n3tgh0st\AppData\Roaming\Acreon\WowMatrix\Modules\curl.exe 2009-12-13 12:56 . 2009-12-13 12:56 196608 ----a-w- c:\users\n3tgh0st\AppData\Roaming\Acreon\WowMatrix\Libraries\wmweb.dll 2009-12-13 12:56 . 2009-12-13 12:56 258048 ----a-w- c:\users\n3tgh0st\AppData\Roaming\Acreon\WowMatrix\Libraries\wmzip.dll 2009-12-13 12:56 . 2009-12-13 12:56 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Acreon 2009-12-13 12:56 . 2009-12-25 07:14 -------- d-----w- c:\users\n3tgh0st\AppData\Local\._Revolution_ . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-08 15:34 . 2009-08-03 14:49 -------- d-----w- c:\program files\ICQ6.5 2010-01-08 14:57 . 2009-08-03 14:15 -------- d-----w- c:\programdata\NVIDIA 2010-01-08 14:57 . 2009-08-03 14:17 33164 ----a-w- c:\programdata\nvModes.dat 2010-01-07 22:24 . 2009-11-22 20:50 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Mumble 2010-01-06 23:50 . 2009-08-05 20:20 -------- d-----w- c:\program files\Curse 2010-01-06 02:18 . 2009-08-03 13:38 1356 ----a-w- c:\users\n3tgh0st\AppData\Local\d3d9caps.dat 2010-01-05 20:29 . 2009-08-03 14:49 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\ICQ 2010-01-01 22:25 . 2006-11-02 15:42 641106 ----a-w- c:\windows\system32\perfh007.dat 2010-01-01 22:25 . 2006-11-02 15:42 116500 ----a-w- c:\windows\system32\perfc007.dat 2009-12-28 00:31 . 2009-08-29 13:13 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\mIRC 2009-12-27 09:59 . 2009-08-29 13:13 -------- d-----w- c:\program files\mIRC 2009-12-23 18:19 . 2009-08-03 16:38 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\teamspeak2 2009-12-07 13:27 . 2009-08-03 16:10 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment 2009-12-07 04:10 . 2009-12-07 04:10 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\AVS4YOU 2009-12-07 04:10 . 2009-12-07 04:10 -------- d-----w- c:\programdata\AVS4YOU 2009-12-07 04:10 . 2009-08-03 13:38 60360 ----a-w- c:\users\n3tgh0st\AppData\Local\GDIPFONTCACHEV1.DAT 2009-12-07 04:10 . 2009-12-07 04:09 -------- d-----w- c:\program files\AVS4YOU 2009-12-07 04:10 . 2009-12-07 04:09 -------- d-----w- c:\program files\Common Files\AVSMedia 2009-12-07 03:37 . 2009-12-07 03:33 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Ulead Systems 2009-12-07 03:33 . 2009-12-07 03:25 -------- d-----w- c:\programdata\Ulead Systems 2009-12-07 03:27 . 2009-12-07 03:27 -------- d-----w- c:\program files\Common Files\InterVideo 2009-12-07 03:27 . 2009-12-07 03:27 -------- d-----w- c:\programdata\InterVideo 2009-12-07 03:27 . 2009-08-03 14:35 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-12-07 03:27 . 2009-08-03 14:35 -------- d-----w- c:\program files\Common Files\InstallShield 2009-12-07 03:26 . 2009-12-07 03:26 -------- d-----w- c:\program files\Windows Media Components 2009-12-07 03:26 . 2009-12-07 03:25 -------- d-----w- c:\program files\Common Files\Ulead Systems 2009-12-07 03:25 . 2009-12-07 03:25 -------- d-----w- c:\program files\Ulead Systems 2009-11-28 19:04 . 2009-10-25 22:42 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Ventrilo 2009-11-28 09:47 . 2009-08-03 22:23 -------- d-----w- c:\program files\Microsoft Silverlight 2009-11-27 16:10 . 2009-11-27 16:09 -------- d-----w- c:\program files\Ventrilo 2009-11-27 16:09 . 2009-08-03 14:27 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard 2009-11-27 11:24 . 2009-08-04 17:55 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Skype 2009-11-27 11:24 . 2009-08-04 17:56 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\skypePM 2009-11-27 08:08 . 2009-08-03 22:19 -------- d-----w- c:\program files\Windows Live 2009-11-23 12:33 . 2009-11-23 12:30 -------- d-----w- c:\program files\Mumble 2009-11-21 08:46 . 2009-11-21 08:46 86016 ----a-w- c:\windows\system32\frapsvid.dll 2009-11-14 07:44 . 2009-11-14 07:41 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Ahead 2009-11-14 07:39 . 2009-11-14 07:39 -------- d-----w- c:\programdata\Ahead 2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VolPanel"="c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-04-17 184320] "SPIRunE"="SPIRunE.dll" [2009-03-05 18432] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-16 148888] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 0 (0x0) "ConsentPromptBehaviorUser"= 0 (0x0) "EnableLUA"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "mixer2"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CurseClient] 2009-06-08 14:51 1934336 ----a-w- c:\program files\Curse\CurseClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] 2009-07-26 15:44 3883840 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] 2007-06-18 13:10 271360 ----a-w- c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] 2009-07-16 11:20 25604904 ----a-r- c:\program files\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload] 2007-03-03 13:12 341488 ----a-w- c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [06.01.2010 03:14 108289] R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [14.07.2009 11:28 239648] S2 gupdate1ca30ead1ed1c8b;Google Update Service (gupdate1ca30ead1ed1c8b);c:\program files\Google\Update\GoogleUpdate.exe [09.09.2009 02:14 133104] S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [13.08.2009 12:45 79360] S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [27.11.2009 09:08 54632] S3 fsssvc;Windows Live Family Safety-Dienst;c:\program files\Windows Live\Family Safety\fsssvc.exe [05.08.2009 22:48 704864] S3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\System32\drivers\t3.sys [03.08.2009 15:39 413208] S3 utczmjuz;AVZ Kernel Driver;c:\windows\System32\drivers\utczmjuz.sys [07.01.2010 01:01 7168] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc . Inhalt des "geplante Tasks" Ordners 2010-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-09-09 01:13] 2010-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-09-09 01:13] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ FF - ProfilePath - c:\users\n3tgh0st\AppData\Roaming\Mozilla\Firefox\Profiles\umn1bxf2.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-CmPCIaudio - cmicnfg3.cpl ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-08 16:34 Windows 6.0.6000 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run SPIRunE = Rundll32 SPIRunE.dll,RunDLLEntry? Scanne versteckte Dateien... c:\users\n3tgh0st\AppData\Local\Temp\catchme.dll 53248 bytes executable Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . Zeit der Fertigstellung: 2010-01-08 16:35:34 ComboFix-quarantined-files.txt 2010-01-08 15:35 Vor Suchlauf: 7 Verzeichnis(se), 31.183.790.080 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 31.230.009.344 Bytes frei - - End Of File - - 08CF3CB1C80E9B605B440CABCF24CCC0 Das ich noch Updaten muss weiss ich bin ich noch nicht zu gekommen. interessant finde ich irgendwie [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 was ist das genau ? ansonsten sehe ich nix verdächtiges @aido ... Na ich denke da schon nicht das du mir da was wolltest alles kein Problem. Es hört sich ja auch toll an was du mit dem Image so sagst nur habe ich leider kein Image und deswegen müsste ich halt alles neu installieren + einstellungen ect was ich natürlich auch machen würde wenn ich des rootkit net wegbekommen würde aber ich bin ja im Moment wohl auf einem guten weg hoffe ich Mich würde irgendwie nur noch interessieren was genau dieser triojaner für eine aufgabe hatte DNCChanger ?! Tcp/ip umkonfigurieren ? mfg Der Beitrag wurde von r00t bearbeitet: 08.01.2010, 16:57 -------------------- |
|
|
08.01.2010, 17:05
Beitrag
#16
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das ist ein DNSchanger, der leitet anfragen an www seiten halt auf andere Server um. Als Beispiel: anstatt auf deine Bankseite geht es auf die Phishingvariante der Malwarehersteller...
-------------------- MfG Ralf
|
|
|
08.01.2010, 17:14
Beitrag
#17
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
Das ist ein DNSchanger, der leitet anfragen an www seiten halt auf andere Server um. Als Beispiel: anstatt auf deine Bankseite geht es auf die Phishingvariante der Malwarehersteller... Ok aber soweit sieht alles wieder Gut aus oder gehe ich da falsch in der annahme? mfg -------------------- |
|
|
08.01.2010, 17:19
Beitrag
#18
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Was man aus den Reporten so sehen kann, ist alles in Ordnung. Aber Kontrollscans koennen nicht schaden und UAC zu aktivieren auch nicht!
-------------------- MfG Ralf
|
|
|
08.01.2010, 19:08
Beitrag
#19
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
Für was steht der "Find3M Bericht" von Combofix ?
|
|
|
08.01.2010, 19:22
Beitrag
#20
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Finde alles der letzten 3 Monate, aber das stimmt so nicht mehr, da wurden mehrere Anpassungen vorgenommen.
-------------------- MfG Ralf
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 20.06.2024, 01:12 |