Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V   1 2 >  
Closed TopicStart new topic
> Backdoor / rootkit doersam daily
r00t
Beitrag 06.01.2010, 05:39
Beitrag #1



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



Hallo (mal wieder)

Hab mich lange nicht mehr sehen lassen, an dieser Stelle sorry dafür. Aber nundenn ... ich hab ein Problem ... es handet sich hierbei um ein Trojaner und / oder Virus der mir gefaikte Windows Sicherheitscenter Meldungen schickt und mir mein Anti viren Programm killt genauso wie den Malwarebytes' Anti-Malwareund sowas...

Hier mal meine Loggfile (die BOLD Punkte sind denke ich verdächtiug)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:32:15, on 06.01.2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\RunDLL32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRunE] Rundll32 SPIRunE.dll,RunDLLEntry
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://ccfiles.creative.com/Web/softwareup...15108/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Google Update Service (gupdate1ca30ead1ed1c8b) (gupdate1ca30ead1ed1c8b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 6345 bytes

//edit ... ähm wäre nett wenn ich mein system wieder clean bekommen würde ohne die schnell formatier lösung ;/

mfg

Der Beitrag wurde von r00t bearbeitet: 06.01.2010, 05:40


--------------------
Go to the top of the page
 
+Quote Post
Habakuck
Beitrag 06.01.2010, 07:28
Beitrag #2



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.607
Mitglied seit: 17.02.2009
Mitglieds-Nr.: 7.363



Poste mal bitte zwei AVZ logs wie hier beschrieben wird:

http://freenet-homepage.de/rene-gad/AVZ/AVZAnleitung.html


Poste ebenfalls ein gMer log: http://www.hijackthis-forum.de/tipps-trick...nleitungen.html (Nur den ersten lauf durchführen!)


--------------------
"If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein
Go to the top of the page
 
+Quote Post
r00t
Beitrag 08.01.2010, 05:50
Beitrag #3



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



Moin Moin ...

So sorry hat etwas gedauert nettes rootkit was ich da wohl habe -.-


AVZ hat nach 10 stunden scann bei 99% aufgegeben und ich hatte einen Bluescreen ... naja denn habe ich gegoogelt und bin auf Dr Web gestosen und hab den ma scannen lassen da ja meine anderen Viren Scanner gekilled werden ... Dr Web sagt mir backdoor.tdss.565 hat sich bei mir breit gemacht. Ich habe nun nach diesem Dingerich gesucht im internet und bin im Trojaner Board fündig geworden ...
ZITAT
bis auf wenige Scanner findet keiner den TDSS (ist ein sehr intelligentes und gut programmiertes Rootkit, fast nicht zu finden&zu beseitigen... zur Zeit tobt der Kampf darum...)...


Naja Ich habe nun mit RSIT einen Scann gemacht den ich hier gleich posten werde und danach nochmal mit Gmer geschaut ... folgendes ist dabei rausgekommen :

RSIT LOG !
Logfile of random's system information tool 1.06 (written by random/random)
Run by n3tgh0st at 2010-01-08 05:13:26
Microsoft® Windows Vista™ Business
System drive C: has 30 GB (38%) free of 79 GB
Total RAM: 3326 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:13:27, on 08.01.2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Users\n3tgh0st\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\n3tgh0st.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRunE] Rundll32 SPIRunE.dll,RunDLLEntry
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://ccfiles.creative.com/Web/softwareup...15108/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Google Update Service (gupdate1ca30ead1ed1c8b) (gupdate1ca30ead1ed1c8b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 6304 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java™ Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-09-16 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java™ Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-09-16 41368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E5A1691B-D188-4419-AD02-90002030B8EE}]
FlashFXP Helper for Internet Explorer - C:\PROGRA~1\FlashFXP\IEFlash.dll [2007-05-16 191096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808]
{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"VolPanel"=C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe [2007-04-17 184320]
"SPIRunE"=Rundll32 SPIRunE.dll,RunDLLEntry []
"CmPCIaudio"=RunDll32 cmicnfg3.cpl,CMICtrlWnd []
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-09-16 148888]
"NeroFilterCheck"=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [2007-02-26 153136]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CurseClient]
C:\Program Files\Curse\CurseClient.exe [2009-06-08 1934336]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe [2007-06-18 271360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Program Files\Skype\Phone\Skype.exe [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload]
C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe [2007-03-03 341488]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=0
"ConsentPromptBehaviorUser"=0
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\FlashFXP\FlashFXP.exe"="C:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\Program Files\FlashFXP\FlashFXP.exe"="C:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3"

======List of files/folders created in the last 1 months======

2010-01-08 05:13:26 ----D---- C:\rsit
2010-01-07 01:00:03 ----D---- C:\Program Files\AVZ
2010-01-06 04:25:31 ----A---- C:\Windows\ntbtlog.txt
2010-01-06 04:14:31 ----D---- C:\ProgramData\Malwarebytes
2010-01-06 04:14:31 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-01-06 04:11:13 ----D---- C:\Program Files\CCleaner
2010-01-06 03:38:07 ----D---- C:\Program Files\Trend Micro
2010-01-06 03:14:00 ----D---- C:\ProgramData\Avira
2010-01-06 03:14:00 ----D---- C:\Program Files\Avira
2010-01-05 20:27:14 ----A---- C:\Windows\system32\krl32mainweq.dll
2010-01-05 20:25:37 ----A---- C:\ProgramData\sysReserve.ini
2010-01-04 04:15:02 ----A---- C:\lol.vbs
2010-01-01 15:42:06 ----D---- C:\Users\n3tgh0st\AppData\Roaming\UDC Profiles
2010-01-01 15:41:49 ----A---- C:\Windows\system32\udcpm.dll
2010-01-01 15:41:43 ----D---- C:\Program Files\Universal Document Converter
2010-01-01 15:35:48 ----D---- C:\ProgramData\Adobe
2010-01-01 15:35:38 ----D---- C:\Program Files\Common Files\Adobe
2010-01-01 15:35:38 ----D---- C:\Program Files\Adobe
2009-12-31 13:15:24 ----D---- C:\Program Files\Nero
2009-12-31 13:15:24 ----D---- C:\Program Files\Common Files\Ahead
2009-12-31 12:54:49 ----D---- C:\Users\n3tgh0st\AppData\Roaming\Nero
2009-12-31 12:41:15 ----D---- C:\ProgramData\Nero
2009-12-31 12:41:14 ----D---- C:\Program Files\Common Files\Nero
2009-12-13 13:56:04 ----D---- C:\Users\n3tgh0st\AppData\Roaming\Acreon

======List of files/folders modified in the last 1 months======

2010-01-08 05:13:27 ----D---- C:\Windows\Prefetch
2010-01-08 05:07:52 ----D---- C:\Program Files\Mozilla Firefox
2010-01-08 05:06:08 ----D---- C:\Windows\Temp
2010-01-08 05:06:08 ----D---- C:\Windows\System32
2010-01-08 05:05:31 ----D---- C:\ProgramData\NVIDIA
2010-01-08 05:05:07 ----D---- C:\Windows\Minidump
2010-01-08 05:05:02 ----D---- C:\Windows
2010-01-07 23:24:33 ----D---- C:\Users\n3tgh0st\AppData\Roaming\Mumble
2010-01-07 09:09:16 ----A---- C:\Windows\NeroDigital.ini
2010-01-07 01:01:41 ----D---- C:\Windows\system32\drivers
2010-01-07 01:00:15 ----RD---- C:\Program Files
2010-01-07 00:50:52 ----D---- C:\Program Files\Curse
2010-01-06 13:17:26 ----SHD---- C:\System Volume Information
2010-01-06 04:14:31 ----HD---- C:\ProgramData
2010-01-06 04:13:51 ----D---- C:\Windows\Debug
2010-01-06 03:28:38 ----D---- C:\Windows\system32\catroot2
2010-01-06 03:11:30 ----SHD---- C:\Windows\Installer
2010-01-06 03:11:29 ----D---- C:\Windows\winsxs
2010-01-05 21:29:09 ----D---- C:\Users\n3tgh0st\AppData\Roaming\ICQ
2010-01-01 23:25:42 ----D---- C:\Windows\inf
2010-01-01 23:25:42 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-01-01 15:37:18 ----D---- C:\Users\n3tgh0st\AppData\Roaming\Adobe
2010-01-01 15:35:38 ----D---- C:\Program Files\Common Files
2009-12-31 12:40:32 ----D---- C:\Windows\system32\Tasks
2009-12-31 12:40:05 ----D---- C:\Program Files\Common Files\microsoft shared
2009-12-30 11:43:44 ----D---- C:\Program Files\ICQ6.5
2009-12-28 01:31:51 ----D---- C:\Users\n3tgh0st\AppData\Roaming\mIRC
2009-12-27 10:59:24 ----D---- C:\Program Files\mIRC
2009-12-23 19:19:25 ----D---- C:\Users\n3tgh0st\AppData\Roaming\teamspeak2

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2006-11-02 319488]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R3 cmuda3;TerraTec Aureon 5.1 Audio Interface; C:\Windows\system32\drivers\cmudax3.sys [2007-04-12 1399680]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2006-10-18 7680]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\Windows\system32\DRIVERS\nvmfdx32.sys [2007-05-03 1065384]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2009-07-14 9557216]
S2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
S3 c65013264;C-Media CM6501 Like Sound UDAX Interface; C:\Windows\system32\drivers\c6501.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632]
S3 fssfltr;FssFltr; C:\Windows\system32\DRIVERS\fssfltr.sys [2009-08-05 54632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016]
S3 nmwcd;Nokia USB Phone Parent; C:\Windows\system32\drivers\nmwcd.sys [2007-02-22 137216]
S3 nmwcdc;Nokia USB Generic; C:\Windows\system32\drivers\nmwcdc.sys [2007-02-22 8320]
S3 nmwcdcj;Nokia USB Port; C:\Windows\system32\drivers\nmwcdcj.sys [2007-02-22 12288]
S3 nmwcdcm;Nokia USB Modem; C:\Windows\system32\drivers\nmwcdcm.sys [2007-02-22 12288]
S3 t3;Sound Blaster X-Fi Xtreme Audio; C:\Windows\system32\drivers\t3.sys [2009-06-04 413208]
S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2006-11-02 71552]
S3 utczmjuz;AVZ Kernel Driver; \??\C:\Windows\system32\Drivers\utczmjuz.sys [2010-01-07 7168]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2006-11-02 39936]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2006-11-02 82560]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Capture Device Service;Capture Device Service; C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe [2007-03-06 198168]
R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2006-11-02 22016]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-07-14 215584]
R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-07-14 239648]
S2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
S2 gupdate1ca30ead1ed1c8b;Google Update Service (gupdate1ca30ead1ed1c8b); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-09-09 133104]
S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2006-11-02 22016]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service; C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2009-08-13 79360]
S3 Fax;@%systemroot%\system32\fxsresm.dll,-118; C:\Windows\system32\fxssvc.exe [2006-11-02 521216]
S3 fsssvc;Windows Live Family Safety-Dienst; C:\Program Files\Windows Live\Family Safety\fsssvc.exe [2009-08-05 704864]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2007-02-26 267824]
S3 ServiceLayer;ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2007-06-15 300544]
S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2006-11-02 22016]
S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2006-11-02 562176]

-----------------EOF-----------------


--------------------
Go to the top of the page
 
+Quote Post
r00t
Beitrag 08.01.2010, 05:53
Beitrag #4



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



Sorry für Doppelpost

RSIT INFO
info.txt logfile of random's system information tool 1.06 2010-01-08 05:13:28

======Uninstall list======

-->"C:\Program Files\InstallShield Installation Information\{BB8AE808-F003-4C7F-B56B-8C80EEAFFE23}\setup.exe" --u:{BB8AE808-F003-4C7F-B56B-8C80EEAFFE23}
-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AA9944C8-7D34-475E-8C90-2788685B2C47}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AA9944C8-7D34-475E-8C90-2788685B2C47}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AAEF329E-F353-46C9-933D-24A571986093}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CC3D3A93-C433-4329-AC3A-7EFC52A332C2}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CC3D3A93-C433-4329-AC3A-7EFC52A332C2}\setup.exe" -l0x9 /remove
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ECC3C64B-2A22-48C5-857B-E952D7BE64F5}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ECC3C64B-2A22-48C5-857B-E952D7BE64F5}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7 /remove
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A92000000001}
Aureon 5.1 PCI-->C:\Windows\system32\Cmeaupci.exe /rm /ppci8768
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
AVS Update Manager 1.0-->"C:\Program Files\AVS4YOU\AVSUpdateManager\unins000.exe"
AVS Video Converter 6-->"C:\Program Files\AVS4YOU\AVSVideoConverter6\unins000.exe"
AVS4YOU Software Navigator 1.3-->"C:\Program Files\AVS4YOU\AVSSoftwareNavigator\unins000.exe"
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Codec Pack - All In 1 6.0.3.0-->C:\Windows\iun6002.exe "C:\Program Files\Codec Pack - All In 1\irunin.ini"
Curse Client-->C:\Program Files\Curse\uninstall.exe
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
FlashFXP v3-->"C:\Program Files\FlashFXP\Uninstall.exe" "C:\Program Files\FlashFXP\install.log" -u
Fraps-->"C:\Fraps\uninstall.exe"
Google Chrome-->"C:\Program Files\Google\Chrome\Application\3.0.195.38\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Host OpenAL-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AAEF329E-F353-46C9-933D-24A571986093}\setup.exe" -l0x7 /remove
ICQ Status Checker 1.6-->"C:\Program Files\ICQ Status Checker\unins000.exe"
ICQ Toolbar-->C:\Program Files\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
InterVideo DeviceService-->MsiExec.exe /I{521AAD14-5030-44BB-8B0E-5CE65FCE57E0}
Java™ 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
mIRC-->C:\Program Files\mIRC\uninstall.exe _?=C:\Program Files\mIRC
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Mumble and Murmur-->C:\Program Files\Mumble\Uninstall.exe
Nero 7 Essentials-->MsiExec.exe /X{81CD6232-10F5-4832-B3DA-1B88B1571031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nokia Connectivity Cable Driver-->MsiExec.exe /X{11964613-805F-432D-A12B-169554B793E7}
Nokia PC Suite-->C:\ProgramData\Installations\{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Nokia_PC_Suite_6_84_10_3_EA.exe
Nokia PC Suite-->MsiExec.exe /I{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
PC Connectivity Solution-->MsiExec.exe /I{99A40651-0BC2-4095-8F9A-A40FAB224FEF}
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Sound Blaster X-Fi-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0C9D0200-FA32-44B7-BBB3-7C03F700C4A0}\SETUP.EXE" -l0x7 /remove
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
TeamSpeak 2 Server RC2-->"C:\Program Files\Teamspeak2_RC2\unins001.exe"
Thoosje Vista Tweaker-->C:\Program Files\Thoosje Vista Tweaker\Uninstal.exe
Ulead VideoStudio 11-->C:\Program Files\InstallShield Installation Information\{F99F9E24-EE2F-47FD-AEB0-FDB82859B5C9}\setup.exe -runfromtemp -l0x0409
Universal Document Converter (Demo)-->"C:\Program Files\Universal Document Converter\unins000.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Family Safety-->MsiExec.exe /X{994223F3-A99B-4DDD-9E1D-0190A17C6860}
Windows Live Fotogalerie-->MsiExec.exe /X{2BA722D1-48D1-406E-9123-8AE5431D63EF}
Windows Live Mail-->MsiExec.exe /I{C4D738F7-996A-4C81-B8FA-C4E26D767E41}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live Movie Maker-->MsiExec.exe /X{3EFEF049-23D4-4B46-8903-4592FEA51018}
Windows Live Sync-->MsiExec.exe /X{76618402-179D-4699-A66B-D351C59436BC}
Windows Live Toolbar-->MsiExec.exe /X{70B7A167-0B88-445D-A3EA-97C73AA88CAC}
Windows Live Writer-->MsiExec.exe /X{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows-Treiberpaket - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\pccswpddriver.inf_a419b392\pccswpddriver.inf
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\pccs_bluetooth.inf_48f6f624\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\pccs_bluetooth.inf_51d2d3e1\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\nokbtmdm.inf_e5643fdd\nokbtmdm.inf
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

=====HijackThis Backups=====

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) [2010-01-06]
O4 - HKCU\..\Run: [settdebugx.exe] C:\Users\n3tgh0st\AppData\Local\Temp\settdebugx.exe [2010-01-06]
R3 - URLSearchHook: (no name) - - (no file) [2010-01-06]
O4 - HKCU\..\Run: [Malware Defense] "C:\Program Files\Malware Defense\mdefense.exe" -noscan [2010-01-06]
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2010-01-06]

======Security center information======

AV: AntiVir Desktop (disabled) (outdated)
AV: Malware Defense (outdated)
AS: AntiVir Desktop (disabled) (outdated)
AS: Windows-Defender (outdated)

======System event log======

Computer Name: elite
Event Code: 7036
Message: Dienst "Netzwerkverbindungen" befindet sich jetzt im Status "Ausgeführt".
Record Number: 34663
Source Name: Service Control Manager
Time Written: 20100108040657.000000-000
Event Type: Informationen
User:

Computer Name: elite
Event Code: 7036
Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 34664
Source Name: Service Control Manager
Time Written: 20100108040748.000000-000
Event Type: Informationen
User:

Computer Name: elite
Event Code: 7036
Message: Dienst "SSDP-Suche" befindet sich jetzt im Status "Ausgeführt".
Record Number: 34665
Source Name: Service Control Manager
Time Written: 20100108040748.000000-000
Event Type: Informationen
User:

Computer Name: elite
Event Code: 7036
Message: Dienst "KtmRm für Distributed Transaction Coordinator" befindet sich jetzt im Status "Ausgeführt".
Record Number: 34666
Source Name: Service Control Manager
Time Written: 20100108040748.000000-000
Event Type: Informationen
User:

Computer Name: elite
Event Code: 7036
Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt".
Record Number: 34667
Source Name: Service Control Manager
Time Written: 20100108040749.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: elite
Event Code: 5617
Message: Die Subsysteme des Windows-Verwaltungsinstrumentationsdienstes wurden erfolgreich initialisiert.
Record Number: 17240
Source Name: Microsoft-Windows-WMI
Time Written: 20100108040536.000000-000
Event Type: Informationen
User:

Computer Name: elite
Event Code: 1003
Message: Der Windows-Suchdienst wurde gestartet.

Record Number: 17241
Source Name: Microsoft-Windows-Search
Time Written: 20100108040545.000000-000
Event Type: Informationen
User:

Computer Name: elite
Event Code: 1
Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet.
Record Number: 17242
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20100108040545.911144-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: elite
Event Code: 1
Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet.
Record Number: 17243
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20100108040546.021144-000
Event Type: Informationen
User: elite\n3tgh0st

Computer Name: elite
Event Code: 1000
Message: Fehlerhafte Anwendung mbam.exe, Version 1.43.0.0, Zeitstempel 0x4b3bba31, fehlerhaftes Modul mbam.exe, Version 1.43.0.0, Zeitstempel 0x4b3bba31, Ausnahmecode 0x80000003, Fehleroffset 0x00003114, Prozess-ID 0xda8, Anwendungsstartzeit 01ca9017ef5e4801.
Record Number: 17244
Source Name: Application Error
Time Written: 20100108040621.000000-000
Event Type: Fehler
User:

=====Security event log=====

Computer Name: elite
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7

Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 23909
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100108040531.900144-000
Event Type: Überwachung erfolgreich
User:

Computer Name: elite
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: ELITE$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0x208
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Netzwerkadresse: -
Port: -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 23910
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100108040531.957144-000
Event Type: Überwachung erfolgreich
User:

Computer Name: elite
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: ELITE$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Anmeldetyp: 5

Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x208
Prozessname: C:\Windows\System32\services.exe

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 23911
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100108040531.957144-000
Event Type: Überwachung erfolgreich
User:

Computer Name: elite
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7

Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 23912
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100108040531.957144-000
Event Type: Überwachung erfolgreich
User:

Computer Name: elite
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Users\n3tgh0st\AppData\Local\Temp\08N6we8a.sys
Record Number: 23913
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100108040645.601144-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\DivX Shared\;C:\Program Files\Common Files\Ulead Systems\MPEG
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 67 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=4303
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------


Und Nun GMER :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-08 05:27:51
Windows 6.0.6000
Running: g3ivwks3.exe; Driver: C:\Users\n3tgh0st\AppData\Local\Temp\uxrdapow.sys


---- System - GMER 1.0.15 ----

Code 86D80120 ZwEnumerateKey
Code 86DA9120 ZwFlushInstructionCache
Code 86C8D11D IofCallDriver
Code 86CF911E IofCompleteRequest

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\drivers\H8SRTexunyhvbwh.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----


Ich hoffe man kann mir noch helfen ... mfg r00t


--------------------
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.01.2010, 05:57
Beitrag #5



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Wir versuchen mal was . Lade dir Mbam herunter und speichere es unter anderem Namen (test.com o.ae).
Starte es nicht.

Lade Avenger http://swandog46.geekstogo.com/avenger.exe speichere es ebenfalls unter einem anderen Namen und starte es.



Hake zusaetzlich "automatically disable any rootkit found" an, druecke execute und lass den Rechner neu starten. Danach installiere Mbam und aktualisiere es, wie in obigem Link beschrieben. Danach mache einen quickscan und lasse alle Funde loeschen.

Poste den Avenger und Mbam Report.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
r00t
Beitrag 08.01.2010, 07:16
Beitrag #6



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



So.. wie gut das ich nicht schlafen konnte ...


Folgendes habe ich gemacht : Ich hab mit GMER ja schon das Rootkit gefunden gehabt und gelöscht (nachdem ich den Scann gemacht hatte und nach meinem lvorletzten post) ich hatte denn neu gebootet und mein Anti Vir ging an... anyway ich habe trotzdem nochmal alles durchgeführt was du sagtest und hatte wohl erfolg.

Log :

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3458
Windows 6.0.6000
Internet Explorer 7.0.6000.16386

08.01.2010 07:07:25
mbam-log-2010-01-08 (07-07-25).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 94862
Laufzeit: 4 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTbuuxpsipkq.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTnulmrbkkor.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTlrrgunpfkf.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\n3tgh0st\AppData\Local\Temp\H8SRT3735.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.


Mein Pc ist nun auch wieder schneller und alles funzt richtig soweit ich es bis jetzt sehe aber ich werde wohl nochmal einen Scann machen zur sicherheit oder ?

Danke schonmal für die Hilfe Raman...

mfg


--------------------
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.01.2010, 08:30
Beitrag #7



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Du solltest Mbam aktualisieren, deines ist relativ veraltet. En paar Kontrollscans mit Drweb Cureit oder KAVS AVP tool koennten nicht schaden. a2 hat wohl auch einen Online oder "scanonly" Version. Damit kannst du auch gerne Kontrollscans machen

Schau, ob du diese Dinge bei dir finden kannst:
c:\recycler\S-1-5-21-3239730011-776884081-2994033645-500
c:\windows\kb913800.exe

Du solltest auf alle Faelle, sofern du nicht neu aufsetzen willst, dein Vista auf den neusten Stand bringen(sp2) und deine Passworte aendern...


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
r00t
Beitrag 08.01.2010, 09:13
Beitrag #8



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



Moin


also diese datein habe ich beide nicht ... passwörter hab ich eh schon geändert und naja ne möchte nicht umbedingt neu aufsetzen ... öhm aber hätte sonst noch eine Frage... also das rootkit versteckt den Trojaner wenn ich richtig verstanden hab ... aber normal sollte man doch net merken das man nen trojaner drauf hat ... ich hingegen hab sofort 90% system auslastung gehabt und irgendwelche porno links auf dem desktop


mfg


--------------------
Go to the top of the page
 
+Quote Post
aido
Beitrag 08.01.2010, 09:37
Beitrag #9



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.492
Mitglied seit: 21.12.2008
Mitglieds-Nr.: 7.287

Betriebssystem:
Arch, Win 8 Pro
Virenscanner:
EAM
Firewall:
Win



Neuaufsetzen ist das beste was du machen kannst. Es ist völlig Sinnfrei, die Passwörter auf einem infizierten Rechner zu ändern. Läuft z.B.versteckt ein Keylogger hat dieser bereits die neuen Kennwörter übermittelt.
Wenn ohne dein zutun irgendwelche Datein oder Verknüpfung auf deinen Rechner erscheinen, dann hat jemand deinen Rechner gekapert und nutzt diesen für Datentransfers oder ober du bist an einem Botnetz angeschlossen.

aido

Der Beitrag wurde von aido bearbeitet: 08.01.2010, 09:38


--------------------
System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
-------------------------------------------------------------------------------------------------------------
serpent's embrace
Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines

The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY
frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA
Go to the top of the page
 
+Quote Post
r00t
Beitrag 08.01.2010, 09:51
Beitrag #10



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



ZITAT(aido @ 08.01.2010, 09:36) *
Es ist völlig Sinnfrei, die Passwörter auf einem infizierten Rechner zu ändern.


Ja aber nicht wenn du deine passwörter auf einem anderen rechner geändert hast wink.gif

und wenn der infizierte rechner wieder sauber ist sehe ich keinen grund zu formatieren


--------------------
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.01.2010, 10:10
Beitrag #11



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Frage ist, ob wir alles erwischt haben. Wenn du mutig genug bist, laesst du Combofix als Administrator und mit ausgeschaltetem AV Guard laufen, das wird dir uU noch einiges mehr rausloeschen, was wir so nicht sehen.

BTW: Was steht in folgenden Dateien?

C:\ProgramData\sysReserve.ini
C:\lol.vbs


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
aido
Beitrag 08.01.2010, 15:55
Beitrag #12



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.492
Mitglied seit: 21.12.2008
Mitglieds-Nr.: 7.287

Betriebssystem:
Arch, Win 8 Pro
Virenscanner:
EAM
Firewall:
Win



@r00t

Du bist Lustig
Auch wenn du die Kennwörter über eine saubere Verbindung (sprich: Rechner) geändert hast, kann eine möglicherweise nocht aktive Schadsoftware die Daten während der Eingabe ablesen. Somit sind diese wieder Obsolet.

Eine Kompromittierung läst sich weiterhin nicht ausschliessen. Die Zeit die du jetzt dafür verwendest dein System zu säubern hättest locker ein neues System aufspielen können. Selbst @raman ist sich nicht sicher ob alles weg ist.

Es gibt zwei Möglichkeiten um ein sauberes System wieder zu erlangen:
1. Neuistallation
2. Sauberes Image

Alles andere macht die Sache nur nocht schlimmer. Bist du dir Sicher das alles weg ist? Bedenke bitte das jeglicher Kontakt mit dem Internet zu deinen Bekannten auch diese der Gefahr aussetzt, Kompromittiert zu werden.

aido


--------------------
System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
-------------------------------------------------------------------------------------------------------------
serpent's embrace
Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines

The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY
frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA
Go to the top of the page
 
+Quote Post
r00t
Beitrag 08.01.2010, 16:24
Beitrag #13



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



In der sysreserve.ini steht nur "285 new" und lol.vbs ist ein Script von mir also das passt ... ich werde ma Anti Vir ausmachen und Combo drüber rennen lassen.

@aido
Es ist ja nun auch nicht so das es mir lachs ist ob da noch was auf meinem Pc ist aber wenn die kompremierten datein weg sind und alles aus dem system raus ist dürfte es ja sauber sein zumal wieder alles geht... ich bin eben echt kein freund vom "platt machen" . Klar ist es denn 100% das nichts mehr drauf ist aber so sollte man sich auch schon sicher sein können ...


--------------------
Go to the top of the page
 
+Quote Post
aido
Beitrag 08.01.2010, 16:50
Beitrag #14



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.492
Mitglied seit: 21.12.2008
Mitglieds-Nr.: 7.287

Betriebssystem:
Arch, Win 8 Pro
Virenscanner:
EAM
Firewall:
Win



Ok, denk bitte nicht ich wollte dir an den Karren fahren notworthy.gif

Ich sag mal wie ich das mache, wenn ich einen Verdacht habe (Gottseidank in den letzten Jahren nicht). Ich mache von meinem System regelmässig Backups davon behalte ich Images von ca. 3 Wochen. Sollte irgendetwas nicht stimmen, dann spiele ich einfach ein Image zurück. Je nach System und Hardware dauert das ganze nicht einmal 10 Minuten und alles ist wieder ok.
Diese Strategie hat mir nicht nur bei Malware geholfen sondern auch bei allen Installationsprozessen. Natürliich ist es Interessant zu Suchen und Finden. Herauszufinden woran das gelegen hat und wie man der Sache Herr werden kann. Aber dananch wird ein Image zurückgespielt, alles ist sauber und du bist eine Erfahrung reicher.


--------------------
System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
-------------------------------------------------------------------------------------------------------------
serpent's embrace
Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines

The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY
frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA
Go to the top of the page
 
+Quote Post
r00t
Beitrag 08.01.2010, 16:50
Beitrag #15



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



Combofix.log

ComboFix 10-01-04.01 - n3tgh0st 08.01.2010 16:30:46.1.2 - x86
Microsoft® Windows Vista™ Business 6.0.6000.0.1252.49.1031.18.3326.2457 [GMT 1:00]
ausgeführt von:: c:\users\n3tgh0st\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: AntiVir Desktop *disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-918056312-2952985149-2686913973-500
c:\program files\ICQ6.5\ICQLRun.exe
c:\users\n3tgh0st\AppData\Roaming\Desktopicon
c:\users\n3tgh0st\AppData\Roaming\Desktopicon\eBayShortcuts.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-08 bis 2010-01-08 ))))))))))))))))))))))))))))))
.

2010-01-08 15:34 . 2010-01-08 15:34 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-08 05:56 . 2010-01-08 05:56 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Malwarebytes
2010-01-08 04:13 . 2010-01-08 04:13 -------- d-----w- C:\rsit
2010-01-07 00:01 . 2010-01-07 00:01 7168 ----a-w- c:\windows\system32\drivers\utczmjuz.sys
2010-01-07 00:00 . 2010-01-07 00:01 -------- d-----w- c:\program files\AVZ
2010-01-06 06:27 . 2010-01-06 07:19 -------- d-----w- c:\users\n3tgh0st\DoctorWeb
2010-01-06 03:14 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-06 03:14 . 2010-01-06 03:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-06 03:14 . 2010-01-06 03:14 -------- d-----w- c:\programdata\Malwarebytes
2010-01-06 03:14 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-06 03:11 . 2010-01-06 03:11 -------- d-----w- c:\program files\CCleaner
2010-01-06 02:38 . 2010-01-06 02:38 -------- d-----w- c:\program files\Trend Micro
2010-01-06 02:14 . 2010-01-08 05:49 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-06 02:14 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-06 02:14 . 2010-01-06 02:14 -------- d-----w- c:\programdata\Avira
2010-01-06 02:14 . 2010-01-06 02:14 -------- d-----w- c:\program files\Avira
2010-01-04 03:18 . 2010-01-04 03:11 2289 ----a-w- c:\users\n3tgh0st\lol.vbs
2010-01-04 03:15 . 2010-01-04 03:11 2289 ----a-w- C:\lol.vbs
2010-01-01 14:42 . 2010-01-01 14:42 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\UDC Profiles
2010-01-01 14:41 . 2009-09-04 14:09 34680 ----a-w- c:\windows\system32\udcpm.dll
2010-01-01 14:41 . 2010-01-01 14:41 -------- d-----w- c:\program files\Universal Document Converter
2010-01-01 14:37 . 2010-01-01 14:40 -------- d-----w- c:\users\n3tgh0st\AppData\Local\Adobe
2010-01-01 14:35 . 2010-01-01 14:35 -------- d-----w- c:\program files\Common Files\Adobe
2009-12-31 12:15 . 2009-12-31 12:19 -------- d-----w- c:\program files\Common Files\Ahead
2009-12-31 12:15 . 2009-12-31 12:15 -------- d-----w- c:\program files\Nero
2009-12-31 11:54 . 2009-12-31 11:54 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Nero
2009-12-31 11:41 . 2009-12-31 12:15 -------- d-----w- c:\programdata\Nero
2009-12-31 11:41 . 2009-12-31 12:10 -------- d-----w- c:\program files\Common Files\Nero
2009-12-13 12:56 . 2009-12-13 12:56 272384 ----a-w- c:\users\n3tgh0st\AppData\Roaming\Acreon\WowMatrix\Modules\curl.exe
2009-12-13 12:56 . 2009-12-13 12:56 196608 ----a-w- c:\users\n3tgh0st\AppData\Roaming\Acreon\WowMatrix\Libraries\wmweb.dll
2009-12-13 12:56 . 2009-12-13 12:56 258048 ----a-w- c:\users\n3tgh0st\AppData\Roaming\Acreon\WowMatrix\Libraries\wmzip.dll
2009-12-13 12:56 . 2009-12-13 12:56 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Acreon
2009-12-13 12:56 . 2009-12-25 07:14 -------- d-----w- c:\users\n3tgh0st\AppData\Local\._Revolution_

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-08 15:34 . 2009-08-03 14:49 -------- d-----w- c:\program files\ICQ6.5
2010-01-08 14:57 . 2009-08-03 14:15 -------- d-----w- c:\programdata\NVIDIA
2010-01-08 14:57 . 2009-08-03 14:17 33164 ----a-w- c:\programdata\nvModes.dat
2010-01-07 22:24 . 2009-11-22 20:50 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Mumble
2010-01-06 23:50 . 2009-08-05 20:20 -------- d-----w- c:\program files\Curse
2010-01-06 02:18 . 2009-08-03 13:38 1356 ----a-w- c:\users\n3tgh0st\AppData\Local\d3d9caps.dat
2010-01-05 20:29 . 2009-08-03 14:49 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\ICQ
2010-01-01 22:25 . 2006-11-02 15:42 641106 ----a-w- c:\windows\system32\perfh007.dat
2010-01-01 22:25 . 2006-11-02 15:42 116500 ----a-w- c:\windows\system32\perfc007.dat
2009-12-28 00:31 . 2009-08-29 13:13 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\mIRC
2009-12-27 09:59 . 2009-08-29 13:13 -------- d-----w- c:\program files\mIRC
2009-12-23 18:19 . 2009-08-03 16:38 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\teamspeak2
2009-12-07 13:27 . 2009-08-03 16:10 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2009-12-07 04:10 . 2009-12-07 04:10 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\AVS4YOU
2009-12-07 04:10 . 2009-12-07 04:10 -------- d-----w- c:\programdata\AVS4YOU
2009-12-07 04:10 . 2009-08-03 13:38 60360 ----a-w- c:\users\n3tgh0st\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-07 04:10 . 2009-12-07 04:09 -------- d-----w- c:\program files\AVS4YOU
2009-12-07 04:10 . 2009-12-07 04:09 -------- d-----w- c:\program files\Common Files\AVSMedia
2009-12-07 03:37 . 2009-12-07 03:33 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Ulead Systems
2009-12-07 03:33 . 2009-12-07 03:25 -------- d-----w- c:\programdata\Ulead Systems
2009-12-07 03:27 . 2009-12-07 03:27 -------- d-----w- c:\program files\Common Files\InterVideo
2009-12-07 03:27 . 2009-12-07 03:27 -------- d-----w- c:\programdata\InterVideo
2009-12-07 03:27 . 2009-08-03 14:35 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-07 03:27 . 2009-08-03 14:35 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-07 03:26 . 2009-12-07 03:26 -------- d-----w- c:\program files\Windows Media Components
2009-12-07 03:26 . 2009-12-07 03:25 -------- d-----w- c:\program files\Common Files\Ulead Systems
2009-12-07 03:25 . 2009-12-07 03:25 -------- d-----w- c:\program files\Ulead Systems
2009-11-28 19:04 . 2009-10-25 22:42 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Ventrilo
2009-11-28 09:47 . 2009-08-03 22:23 -------- d-----w- c:\program files\Microsoft Silverlight
2009-11-27 16:10 . 2009-11-27 16:09 -------- d-----w- c:\program files\Ventrilo
2009-11-27 16:09 . 2009-08-03 14:27 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-11-27 11:24 . 2009-08-04 17:55 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Skype
2009-11-27 11:24 . 2009-08-04 17:56 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\skypePM
2009-11-27 08:08 . 2009-08-03 22:19 -------- d-----w- c:\program files\Windows Live
2009-11-23 12:33 . 2009-11-23 12:30 -------- d-----w- c:\program files\Mumble
2009-11-21 08:46 . 2009-11-21 08:46 86016 ----a-w- c:\windows\system32\frapsvid.dll
2009-11-14 07:44 . 2009-11-14 07:41 -------- d-----w- c:\users\n3tgh0st\AppData\Roaming\Ahead
2009-11-14 07:39 . 2009-11-14 07:39 -------- d-----w- c:\programdata\Ahead
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VolPanel"="c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-04-17 184320]
"SPIRunE"="SPIRunE.dll" [2009-03-05 18432]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-16 148888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CurseClient]
2009-06-08 14:51 1934336 ----a-w- c:\program files\Curse\CurseClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883840 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
2007-06-18 13:10 271360 ----a-w- c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-07-16 11:20 25604904 ----a-r- c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload]
2007-03-03 13:12 341488 ----a-w- c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [06.01.2010 03:14 108289]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [14.07.2009 11:28 239648]
S2 gupdate1ca30ead1ed1c8b;Google Update Service (gupdate1ca30ead1ed1c8b);c:\program files\Google\Update\GoogleUpdate.exe [09.09.2009 02:14 133104]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [13.08.2009 12:45 79360]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [27.11.2009 09:08 54632]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\program files\Windows Live\Family Safety\fsssvc.exe [05.08.2009 22:48 704864]
S3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\System32\drivers\t3.sys [03.08.2009 15:39 413208]
S3 utczmjuz;AVZ Kernel Driver;c:\windows\System32\drivers\utczmjuz.sys [07.01.2010 01:01 7168]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Inhalt des "geplante Tasks" Ordners

2010-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-09 01:13]

2010-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-09 01:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
FF - ProfilePath - c:\users\n3tgh0st\AppData\Roaming\Mozilla\Firefox\Profiles\umn1bxf2.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CmPCIaudio - cmicnfg3.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-08 16:34
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SPIRunE = Rundll32 SPIRunE.dll,RunDLLEntry?

Scanne versteckte Dateien...


c:\users\n3tgh0st\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-01-08 16:35:34
ComboFix-quarantined-files.txt 2010-01-08 15:35

Vor Suchlauf: 7 Verzeichnis(se), 31.183.790.080 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 31.230.009.344 Bytes frei

- - End Of File - - 08CF3CB1C80E9B605B440CABCF24CCC0


Das ich noch Updaten muss weiss ich bin ich noch nicht zu gekommen.

interessant finde ich irgendwie
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000 was ist das genau ?

ansonsten sehe ich nix verdächtiges


@aido ... Na ich denke da schon nicht das du mir da was wolltest wink.gif alles kein Problem. Es hört sich ja auch toll an was du mit dem Image so sagst nur habe ich leider kein Image und deswegen müsste ich halt alles neu installieren + einstellungen ect was ich natürlich auch machen würde wenn ich des rootkit net wegbekommen würde aber ich bin ja im Moment wohl auf einem guten weg hoffe ich wink.gif

Mich würde irgendwie nur noch interessieren was genau dieser triojaner für eine aufgabe hatte DNCChanger ?! Tcp/ip umkonfigurieren ?

mfg

Der Beitrag wurde von r00t bearbeitet: 08.01.2010, 16:57


--------------------
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.01.2010, 17:05
Beitrag #16



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Das ist ein DNSchanger, der leitet anfragen an www seiten halt auf andere Server um. Als Beispiel: anstatt auf deine Bankseite geht es auf die Phishingvariante der Malwarehersteller...


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
r00t
Beitrag 08.01.2010, 17:14
Beitrag #17



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 161
Mitglied seit: 09.08.2004
Mitglieds-Nr.: 1.319



ZITAT(raman @ 08.01.2010, 17:04) *
Das ist ein DNSchanger, der leitet anfragen an www seiten halt auf andere Server um. Als Beispiel: anstatt auf deine Bankseite geht es auf die Phishingvariante der Malwarehersteller...



Ok aber soweit sieht alles wieder Gut aus oder gehe ich da falsch in der annahme?

mfg


--------------------
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.01.2010, 17:19
Beitrag #18



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Was man aus den Reporten so sehen kann, ist alles in Ordnung. Aber Kontrollscans koennen nicht schaden und UAC zu aktivieren auch nicht!


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
citro
Beitrag 08.01.2010, 19:08
Beitrag #19



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.829
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1909)
Virenscanner:
Avira free
Firewall:
Comodo



Für was steht der "Find3M Bericht" von Combofix ?
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.01.2010, 19:22
Beitrag #20



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Finde alles der letzten 3 Monate, aber das stimmt so nicht mehr, da wurden mehrere Anpassungen vorgenommen.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post

2 Seiten V   1 2 >
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 10:34
Impressum