*********************************************** * 1. ABSATZ: LOG SYMANTEC ENDPOINT PROTECTION * *********************************************** The executable has changed since the last time you used C:\Windows\SysWOW64\opear.exe File Version: 4.0.3.3 File Description: Delhi File Path: C:\Windows\SysWOW64\opear.exe Digital Signature: Process ID: 0xc5c (Hexadecimal) 3164 (Decimal) Connection origin: local initiated Protocol: TCP Local Address: 192.168.1.100 Local Port: 50118 Remote Name: sendinvest.com Remote Address: 64.120.176.66 Remote Port: 8392 Ethernet packet details: Ethernet II (Packet Length: 66) Destination: 00-1c-10-12-6c-77 Source: 00-22-fb-2e-c2-0e Type: IP (0x0800) Internet Protocol Version: 4 Header Length: 20 bytes Flags: .1.. = Don't fragment: Set ..0. = More fragments: Not set Fragment offset:0 Time to live: 128 Protocol: 0x6 (TCP - Transmission Control Protocol) Header checksum: 0x1044 (Correct) Source: 192.168.1.100 Destination: 64.120.176.66 Transmission Control Protocol (TCP) Source port: 50883 Destination port: 30394400 Sequence number: -496884897 Acknowledgment number: 0 Header length: 32 Flags: 0... .... = Congestion Window Reduce (CWR): Not set .0.. .... = ECN-Echo: Not set ..0. .... = Urgent: Not set ...0 .... = Acknowledgment: Not set .... 0... = Push: Not set .... .0.. = Reset: Not set .... ..1. = Syn: Set .... ...0 = Fin: Not set Checksum: 0xb4f5 (Correct) Data (0 Bytes) Binary dump of the packet: 0000: 00 1C 10 12 6C 77 00 22 : FB 2E C2 0E 08 00 45 00 | ....lw."û.Â...E. 0010: 00 34 03 ED 40 00 80 06 : 44 10 C0 A8 01 64 40 78 | .4.í@._.D.À¨.d@x 0020: B0 42 C3 C6 20 C8 5F 23 : 62 E2 00 00 00 00 80 02 | °BÃÆ È_#bâ...._. 0030: 20 00 F5 B4 00 00 02 04 : 05 B4 01 03 03 08 01 01 | .õ´.....´...... 0040: 04 02 : | .. ******************************* * 2. ABSATZ: LOG ANTI_MALWARE * ******************************* Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4166 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 03.06.2010 10:37:51 mbam-log-2010-06-03 (10-37-51).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 123894 Laufzeit: 2 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 10 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: c:\Windows\BtwSvc.dll (Backdoor.Bot) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{vxrpsha4-wwfp-0z0j-kbqp-0gku4dw71aak} (Generic.Bot.H) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btwsvc (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\peresvc (Backdoor.Bot) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\buildw (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\l (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mbt (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mpe (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\ulrn (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\update (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Windows\BtwSvc.dll (Backdoor.Bot) -> No action taken. C:\Windows\System32\opear.exe (Trojan.Koblu) -> No action taken. C:\Windows\System32\txpxr_730436793281.b1k (Backdoor.Bot) -> No action taken. C:\Windows\PereSvc.exe (Backdoor.Bot) -> No action taken. C:\Windows\PereSvc.exex (Trojan.Agent) -> No action taken. ******************************* * 3. ABSATZ: LOG ANTI_MALWARE * ******************************* Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4166 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 03.06.2010 10:53:45 mbam-log-2010-06-03 (10-53-45).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 126182 Laufzeit: 2 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\ulrn (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\update (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\System32\opear.exe (Trojan.Koblu) -> No action taken.