Verdacht auf Keylogger, was tun?

#0
22.10.2007, 03:14
...neu hier

Beiträge: 8
#1 Vor kurzem wurde einer meiner Accounts kompromittiert und ich vermute, dass das Passwort per Keylogger in Erfahrung gebracht wurde.
Daraufhin habe ich folgende Maßnahmen ergriffen:

Internet Explorer durch firefox ersetzt, weil es etwas sicherer sein soll.
Antivir durchlaufen lassen.
Adaware installiert und durchlaufen lassen.
Superantispyware installiert und durchlaufen lassen.
Spybot S&D installiert, Immunisiert und durchlaufen lassen.
Das Passwort geändert.

Es gab einige gefährliche Treffer, die ich entfernt habe.
Ich befürchte allerdings, dass er immernoch drauf ist.
Wie sicher kann ich mir sein, wenn alle genannten Programme keine Treffer mehr ergeben? Ich bin total paranoid geworden. Gibt es noch etwas das ich tun könnte oder sollte?
Seitenanfang Seitenende
22.10.2007, 07:33
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

bitte das hier abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

und

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Chris
Seitenanfang Seitenende
22.10.2007, 14:17
...neu hier

Themenstarter

Beiträge: 8
#3 Ok, habe alle logs, aber eine Frage hätte ich davor noch: Beim starten von combofix hat spybot vor 2 Änderungen an der registry gewarnt. Nach dem durchlauf war der Internet Explorer wieder auf dem Desktop, ist das alles normal?
Falls es beim durchstöbern irgendwie hilft, der Zeitpunkt der Kompromittierung war etwa zwischen Fr 19.10.07 18:30 und Sa 20.10.07 2:50.

combofix:

ComboFix 07-10-22.5 - Flo 2007-10-22 13:55:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.667 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Flo\Desktop\combofix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-22 bis 2007-10-22 ))))))))))))))))))))))))))))))
.

2007-10-22 13:53 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-22 02:21 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2007-10-22 02:21 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\SUPERAntiSpyware.com
2007-10-20 14:21 <DIR> d-------- C:\Programme\Spyware Terminator
2007-10-20 14:21 <DIR> d-------- C:\Programme\Crawler
2007-10-20 13:52 0 --a------ C:\WINDOWS\nsreg.dat
2007-10-20 03:41 <DIR> d-------- C:\Programme\Lavasoft
2007-09-30 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\SecuROM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-22 02:52 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\ChessBase
2007-10-22 02:05 --------- d-----w C:\Programme\Warcraft III
2007-10-21 23:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-21 22:11 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\teamspeak2
2007-10-13 15:06 --------- d-----w C:\Programme\World of Warcraft
2007-09-26 11:54 --------- d-----w C:\Programme\EvilLyrics
2007-09-26 11:42 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Skype
2007-08-29 20:28 --------- d-----w C:\Programme\DivX
2007-08-28 18:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-07-28 03:37 8,237,056 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-07-28 03:31 344,064 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-07-28 03:30 269,312 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-07-28 03:24 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-07-28 03:23 143,360 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-07-28 03:23 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-07-28 03:22 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-07-28 03:22 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-07-28 03:22 118,784 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-07-28 03:21 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-07-28 03:20 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-07-28 03:12 3,067,712 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-07-28 03:06 176,128 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-07-28 03:01 1,550,208 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-07-28 02:50 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-07-28 02:47 266,240 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-07-28 02:46 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-07-28 02:40 450,560 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-07-27 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2007-07-26 02:53 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-07-26 02:53 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2004-03-11 12:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 14:59]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"SoundMan"=SOUNDMAN.EXE
"EPSON Stylus D68 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb24947a-2272-11db-a62c-0014850ad7f5}]
AutoRun\command - F:\JDSecure\Windows\JDSecure31.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-10-19 15:26:58 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-22 13:56:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-22 13:56:39
.
--- E O F ---


hjt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:06, on 22.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LxrJD31s.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Flo\Desktop\hjt\HJT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133220310454
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 5386 bytes

datfind:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: E81D-1BAD

Verzeichnis von C:\WINDOWS\system32

19.10.2007 14:33 2.206 wpa.dbl
15.08.2007 18:33 48.354 perfc007.dat
15.08.2007 18:33 316.924 perfh007.dat
15.08.2007 18:33 40.128 perfc009.dat
15.08.2007 18:33 311.740 perfh009.dat
15.08.2007 18:33 723.744 PerfStringBackup.INI
28.07.2007 05:37 8.237.056 atioglx2.dll
28.07.2007 05:31 344.064 ATIDEMGX.dll
28.07.2007 05:30 269.312 ati2dvag.dll
28.07.2007 05:24 307.200 atiiiexx.dll
28.07.2007 05:23 143.360 atipdlxx.dll
28.07.2007 05:23 122.880 Oemdspif.dll
28.07.2007 05:22 26.112 Ati2mdxx.exe
28.07.2007 05:22 43.520 ati2edxx.dll
28.07.2007 05:22 118.784 ati2evxx.dll
28.07.2007 05:21 483.328 ati2evxx.exe
28.07.2007 05:20 53.248 ATIDDC.DLL
28.07.2007 05:12 3.067.712 ati3duag.dll
28.07.2007 05:06 176.128 atiok3x2.dll
28.07.2007 05:01 1.550.208 ativvaxx.dll
28.07.2007 05:01 3.107.788 ativva5x.dat
28.07.2007 05:01 972.072 ativva6x.dat
28.07.2007 04:50 5.435.392 atioglxx.dll
28.07.2007 04:47 266.240 atikvmag.dll
28.07.2007 04:46 17.408 atitvo32.dll
28.07.2007 04:40 450.560 ati2cqag.dll
27.07.2007 21:05 593.920 ati2sgag.exe
26.07.2007 04:53 200.704 ssldivx.dll
26.07.2007 04:53 1.044.480 libdivx.dll
06.07.2007 19:40 108.144 CmdLineExt.dll
.
.
.
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: E81D-1BAD

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: E81D-1BAD

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2007 19:49 214 DivXPlugin.inf
27.03.2006 13:00 5.019 swflash.inf
08.12.2005 13:46 1.271 erma.inf
27.11.2005 20:19 65 desktop.ini
26.05.2005 05:19 293 muweb.inf
5 Datei(en) 6.862 Bytes
0 Verzeichnis(se), 11.793.256.448 Bytes frei
.
.
.

silentrunners:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"]
{22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)"
-> {HKLM...CLSID} = "Skype add-on (mastermind)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {HKLM...CLSID} = "Microsoft Office Binder Unbind"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "KbLogiExt Class"
\InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."]
"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "LogiExt Class"
\InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided)
-> {HKLM...CLSID} = "SABShellExecuteHook Class"
\InProcServer32\(Default) = "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]| [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> !SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"]
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Flo" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 14
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"
-> {HKLM...CLSID} = "&Crawler Toolbar"
\InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" = (no title provided)
-> {HKLM...CLSID} = "&Crawler Toolbar"
\InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{77BF5300-1474-4EC7-9980-D32B190E9B07}\
"ButtonText" = "Skype"
"CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}"
-> {HKLM...CLSID} = "Skype add-on (button)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Lexar JD31, LxrJD31s, "LxrJD31s.exe" [null data]
TuneUp WinStyler Theme Service, TUWinStylerThemeSvc, ""C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe"" ["TuneUp Software GmbH"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor PIXMA iP4000\Driver = "CNMLM64.DLL" ["CANON INC."]
EPSON Stylus D68 Series 2KMonitor5E\Driver = "E_FLMAAE.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2007-10-22 14:05:02)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 28 seconds, including 11 seconds for message boxes)
Seitenanfang Seitenende
22.10.2007, 14:31
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

es ist nichts auffälliges zu finden, ein bisschen viel Antiviren-SW (die sich u. u. gegenseitig stören können)...

Stelle Antivir wie folgt ein und mache einen Fullscan:
http://board.protecus.de/t23979.htm
Poste das Ergebnis!

Chris
Seitenanfang Seitenende
22.10.2007, 14:36
...neu hier

Themenstarter

Beiträge: 8
#5 Verdammt bist du schnell, in der Zeit könnte ich das nicht mal lesen, geschweige denn identifizieren. Ich mach das dann mal und editiers rein.
Folgendes Problem:
Ich habe diesen Thread schon vorher mal gesehen und weiss daher, dass Bilder eingefügt waren. Seit dem erstellen der Logdateien zeigt mein browser bestimmte Seiten und z.B. auch diese Bilder nicht mehr an, das müsste zuerst behoben werden, kleine Idee was passiert ist?
Dieser Beitrag wurde am 22.10.2007 um 14:43 Uhr von Gegliosch editiert.
Seitenanfang Seitenende
22.10.2007, 14:59
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

mache mich mal schlau, wäre möglich das Combofix da was gedreht hat...
Welche Seiten kommen nicht mehr, gibt es dazu eine Fehlermeldung?

Wie sieht das hosts-file aus (C:\WINDOWS\system32\drivers\etc\hosts)?
Beliebtes Spiel von Viren/Trojaner hier über einen Loopback unerwünschte Seiten
"auszublenden"....

Chris
Seitenanfang Seitenende
22.10.2007, 15:02
...neu hier

Themenstarter

Beiträge: 8
#7 Komplette Entwarnung, ich habe mal den Rechner neu gestartet und jetzt ist wieder alles im lot, war wohl nichts besonderes. Dann kümmer ich mich jetzt mal um Antivir.
Edit: Hmm, zwar gehen die vorher getesteten Internetseiten wieder aber der Thread zeigt noch immer keine Bilder.
Ahh, mein Fehler, ich hab die Seiten im Internet Explorer geöffnet, da gehen sie, firefox macht allerdings immernoch Probleme. Zum Beispiel Web.de oder aufwendige Seiten mit viel Schnickschnack gehen nicht im firefox. Könnte es damit zu tun haben, dass ein alter Systemstand wiederhergestellt wurde, firefox aber erst seit diesem Wochenende installiert ist?

Beispiel für eine Fehlermeldung:

Fehler beim Laden des Stylesheets (null)
http://eu.starcraft2.com/layout/frontpage.xsl
Dieser Beitrag wurde am 22.10.2007 um 15:13 Uhr von Gegliosch editiert.
Seitenanfang Seitenende
22.10.2007, 15:27
Member
Avatar Chris4You

Beiträge: 694
#8 Hi,

da kenne ich mich wenig aus...
Bei mir lädt der Firefox alles richtig....
Einstellungen von Firefox überprüfen und ihn nach ev. notwendigen Windowsupdates (wenn Du zurückgegangen bist über die Systemwiederherstellung) installieren. Es gibt eh gerade eine neue Version (2.0.8)...

Chris
Seitenanfang Seitenende
22.10.2007, 16:36
...neu hier

Themenstarter

Beiträge: 8
#9 Er lief bestens bevor ich die Programme zum erstellen der logs benutzt habe, eventuell hat es damit zu tun, dass combofix die registry verändert hat, wie mache ich das rückgängig?
Seitenanfang Seitenende
22.10.2007, 17:02
Member
Avatar Chris4You

Beiträge: 694
#10 Hi,

have a look at:
C:\Qoobox\Quarantine\....

Bin jetzt weg, habe Kollegen verständigt, vielleicht hat er Zeit...
Bin morgen wieder da...

Chris
Seitenanfang Seitenende
22.10.2007, 17:25
...neu hier

Themenstarter

Beiträge: 8
#11 Ist leider leer, hat jemand noch ne andere Idee was da grade falsch eingestellt ist?
Ich beschreibe mal kurz, was auf Web.de angezeigt wird, die Seite kennen ja die meisten:
Statt dem normalen layout mit Bildern und Links die mehr oder weniger übersichtlich angeordnet sind, habe ich jetzt nur noch die ganzen links der Seite untereinander aufgelistet, vom ursprünglichen Design der Seite ist nichts mehr zu sehen.
Neuinstallation vom firefox hat nichts gebracht, wer kennt sich aus?
Seitenanfang Seitenende
24.10.2007, 09:18
Member
Avatar Chris4You

Beiträge: 694
#12 Hi,

hab noch was über Firefox gefunden:
http://www.zdnet.de/news/software/0,39023144,39158603,00.htm

Vielleicht hilft das weiter...

chris
Seitenanfang Seitenende
24.10.2007, 10:07
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 Entferne via Software Spyware Terminator(Crawler)
http://vil.nai.com/vil/content/v_137764.htm
__________
MfG Argus
Seitenanfang Seitenende
24.10.2007, 16:41
...neu hier

Themenstarter

Beiträge: 8
#14 Danke für die Hilfe.
Was den Browser betrifft bin ich jetzt einfach mal vorläufig auf IE7 umgestiegen, der funktioniert. Vielleicht schau ich mir den firefox nochmal an, wenn er gefixt wird.
Den Terminator hab ich samt crawler bereits deinstalliert, als ich firefox gelöscht habe.
Ansonsten gehe ich jetzt mal davon aus, dass mein Rechner wieder einigermaßen sicher ist.
Seitenanfang Seitenende
24.10.2007, 16:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Du benutzt kein Java,bewusst?
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: