Verdacht auf Keylogger, was tun? |
||
---|---|---|
#0
| ||
22.10.2007, 03:14
...neu hier
Beiträge: 8 |
||
|
||
22.10.2007, 07:33
Member
Beiträge: 694 |
#2
Hi,
bitte das hier abarbeiten: http://board.protecus.de/t23188.htm - Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html) - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) und Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Chris |
|
|
||
22.10.2007, 14:17
...neu hier
Themenstarter Beiträge: 8 |
#3
Ok, habe alle logs, aber eine Frage hätte ich davor noch: Beim starten von combofix hat spybot vor 2 Änderungen an der registry gewarnt. Nach dem durchlauf war der Internet Explorer wieder auf dem Desktop, ist das alles normal?
Falls es beim durchstöbern irgendwie hilft, der Zeitpunkt der Kompromittierung war etwa zwischen Fr 19.10.07 18:30 und Sa 20.10.07 2:50. combofix: ComboFix 07-10-22.5 - Flo 2007-10-22 13:55:06.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.667 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Flo\Desktop\combofix\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-09-22 bis 2007-10-22 )))))))))))))))))))))))))))))) . 2007-10-22 13:53 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-22 02:21 <DIR> d-------- C:\Programme\SUPERAntiSpyware 2007-10-22 02:21 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\SUPERAntiSpyware.com 2007-10-20 14:21 <DIR> d-------- C:\Programme\Spyware Terminator 2007-10-20 14:21 <DIR> d-------- C:\Programme\Crawler 2007-10-20 13:52 0 --a------ C:\WINDOWS\nsreg.dat 2007-10-20 03:41 <DIR> d-------- C:\Programme\Lavasoft 2007-09-30 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\SecuROM . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-22 02:52 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\ChessBase 2007-10-22 02:05 --------- d-----w C:\Programme\Warcraft III 2007-10-21 23:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-10-21 22:11 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\teamspeak2 2007-10-13 15:06 --------- d-----w C:\Programme\World of Warcraft 2007-09-26 11:54 --------- d-----w C:\Programme\EvilLyrics 2007-09-26 11:42 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Skype 2007-08-29 20:28 --------- d-----w C:\Programme\DivX 2007-08-28 18:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech 2007-07-28 03:37 8,237,056 ----a-w C:\WINDOWS\system32\atioglx2.dll 2007-07-28 03:31 344,064 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2007-07-28 03:30 269,312 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2007-07-28 03:24 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2007-07-28 03:23 143,360 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2007-07-28 03:23 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2007-07-28 03:22 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2007-07-28 03:22 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2007-07-28 03:22 118,784 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2007-07-28 03:21 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2007-07-28 03:20 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2007-07-28 03:12 3,067,712 ----a-w C:\WINDOWS\system32\ati3duag.dll 2007-07-28 03:06 176,128 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2007-07-28 03:01 1,550,208 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2007-07-28 02:50 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll 2007-07-28 02:47 266,240 ----a-w C:\WINDOWS\system32\atikvmag.dll 2007-07-28 02:46 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2007-07-28 02:40 450,560 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2007-07-27 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe 2007-07-26 02:53 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-07-26 02:53 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2004-03-11 12:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 14:59] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit "SoundMan"=SOUNDMAN.EXE "EPSON Stylus D68 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb24947a-2272-11db-a62c-0014850ad7f5}] AutoRun\command - F:\JDSecure\Windows\JDSecure31.exe *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2007-10-19 15:26:58 C:\WINDOWS\Tasks\1-Klick-Wartung.job" . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-22 13:56:12 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-22 13:56:39 . --- E O F --- hjt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:02:06, on 22.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\LxrJD31s.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Flo\Desktop\hjt\HJT.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133220310454 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe -- End of file - 5386 bytes datfind: . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datentr„ger in Laufwerk C: ist Programme Volumeseriennummer: E81D-1BAD Verzeichnis von C:\WINDOWS\system32 19.10.2007 14:33 2.206 wpa.dbl 15.08.2007 18:33 48.354 perfc007.dat 15.08.2007 18:33 316.924 perfh007.dat 15.08.2007 18:33 40.128 perfc009.dat 15.08.2007 18:33 311.740 perfh009.dat 15.08.2007 18:33 723.744 PerfStringBackup.INI 28.07.2007 05:37 8.237.056 atioglx2.dll 28.07.2007 05:31 344.064 ATIDEMGX.dll 28.07.2007 05:30 269.312 ati2dvag.dll 28.07.2007 05:24 307.200 atiiiexx.dll 28.07.2007 05:23 143.360 atipdlxx.dll 28.07.2007 05:23 122.880 Oemdspif.dll 28.07.2007 05:22 26.112 Ati2mdxx.exe 28.07.2007 05:22 43.520 ati2edxx.dll 28.07.2007 05:22 118.784 ati2evxx.dll 28.07.2007 05:21 483.328 ati2evxx.exe 28.07.2007 05:20 53.248 ATIDDC.DLL 28.07.2007 05:12 3.067.712 ati3duag.dll 28.07.2007 05:06 176.128 atiok3x2.dll 28.07.2007 05:01 1.550.208 ativvaxx.dll 28.07.2007 05:01 3.107.788 ativva5x.dat 28.07.2007 05:01 972.072 ativva6x.dat 28.07.2007 04:50 5.435.392 atioglxx.dll 28.07.2007 04:47 266.240 atikvmag.dll 28.07.2007 04:46 17.408 atitvo32.dll 28.07.2007 04:40 450.560 ati2cqag.dll 27.07.2007 21:05 593.920 ati2sgag.exe 26.07.2007 04:53 200.704 ssldivx.dll 26.07.2007 04:53 1.044.480 libdivx.dll 06.07.2007 19:40 108.144 CmdLineExt.dll . . . Datentr„ger in Laufwerk C: ist Programme Volumeseriennummer: E81D-1BAD Verzeichnis von C:\WINDOWS\temp . . . Datentr„ger in Laufwerk C: ist Programme Volumeseriennummer: E81D-1BAD Verzeichnis von C:\WINDOWS\Downloaded Program Files 25.07.2007 19:49 214 DivXPlugin.inf 27.03.2006 13:00 5.019 swflash.inf 08.12.2005 13:46 1.271 erma.inf 27.11.2005 20:19 65 desktop.ini 26.05.2005 05:19 293 muweb.inf 5 Datei(en) 6.862 Bytes 0 Verzeichnis(se), 11.793.256.448 Bytes frei . . . silentrunners: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"] {22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)" -> {HKLM...CLSID} = "Skype add-on (mastermind)" \InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind" -> {HKLM...CLSID} = "Microsoft Office Binder Unbind" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension" -> {HKLM...CLSID} = "KbLogiExt Class" \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."] "{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension" -> {HKLM...CLSID} = "LogiExt Class" \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided) -> {HKLM...CLSID} = "SABShellExecuteHook Class" \InProcServer32\(Default) = "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"] HKLM\System\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]| [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> !SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"] <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Flo" & "All Users" startup folders: ----------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 14 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> {HKLM...CLSID} = "&Crawler Toolbar" \InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" = (no title provided) -> {HKLM...CLSID} = "&Crawler Toolbar" \InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {77BF5300-1474-4EC7-9980-D32B190E9B07}\ "ButtonText" = "Skype" "CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}" -> {HKLM...CLSID} = "Skype add-on (button)" \InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"] AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] Lexar JD31, LxrJD31s, "LxrJD31s.exe" [null data] TuneUp WinStyler Theme Service, TUWinStylerThemeSvc, ""C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe"" ["TuneUp Software GmbH"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Canon BJ Language Monitor PIXMA iP4000\Driver = "CNMLM64.DLL" ["CANON INC."] EPSON Stylus D68 Series 2KMonitor5E\Driver = "E_FLMAAE.DLL" ["SEIKO EPSON CORPORATION"] ---------- (launch time: 2007-10-22 14:05:02) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 28 seconds, including 11 seconds for message boxes) |
|
|
||
22.10.2007, 14:31
Member
Beiträge: 694 |
#4
Hi,
es ist nichts auffälliges zu finden, ein bisschen viel Antiviren-SW (die sich u. u. gegenseitig stören können)... Stelle Antivir wie folgt ein und mache einen Fullscan: http://board.protecus.de/t23979.htm Poste das Ergebnis! Chris |
|
|
||
22.10.2007, 14:36
...neu hier
Themenstarter Beiträge: 8 |
#5
Verdammt bist du schnell, in der Zeit könnte ich das nicht mal lesen, geschweige denn identifizieren. Ich mach das dann mal und editiers rein.
Folgendes Problem: Ich habe diesen Thread schon vorher mal gesehen und weiss daher, dass Bilder eingefügt waren. Seit dem erstellen der Logdateien zeigt mein browser bestimmte Seiten und z.B. auch diese Bilder nicht mehr an, das müsste zuerst behoben werden, kleine Idee was passiert ist? Dieser Beitrag wurde am 22.10.2007 um 14:43 Uhr von Gegliosch editiert.
|
|
|
||
22.10.2007, 14:59
Member
Beiträge: 694 |
#6
Hi,
mache mich mal schlau, wäre möglich das Combofix da was gedreht hat... Welche Seiten kommen nicht mehr, gibt es dazu eine Fehlermeldung? Wie sieht das hosts-file aus (C:\WINDOWS\system32\drivers\etc\hosts)? Beliebtes Spiel von Viren/Trojaner hier über einen Loopback unerwünschte Seiten "auszublenden".... Chris |
|
|
||
22.10.2007, 15:02
...neu hier
Themenstarter Beiträge: 8 |
#7
Komplette Entwarnung, ich habe mal den Rechner neu gestartet und jetzt ist wieder alles im lot, war wohl nichts besonderes. Dann kümmer ich mich jetzt mal um Antivir.
Edit: Hmm, zwar gehen die vorher getesteten Internetseiten wieder aber der Thread zeigt noch immer keine Bilder. Ahh, mein Fehler, ich hab die Seiten im Internet Explorer geöffnet, da gehen sie, firefox macht allerdings immernoch Probleme. Zum Beispiel Web.de oder aufwendige Seiten mit viel Schnickschnack gehen nicht im firefox. Könnte es damit zu tun haben, dass ein alter Systemstand wiederhergestellt wurde, firefox aber erst seit diesem Wochenende installiert ist? Beispiel für eine Fehlermeldung: Fehler beim Laden des Stylesheets (null) http://eu.starcraft2.com/layout/frontpage.xsl Dieser Beitrag wurde am 22.10.2007 um 15:13 Uhr von Gegliosch editiert.
|
|
|
||
22.10.2007, 15:27
Member
Beiträge: 694 |
#8
Hi,
da kenne ich mich wenig aus... Bei mir lädt der Firefox alles richtig.... Einstellungen von Firefox überprüfen und ihn nach ev. notwendigen Windowsupdates (wenn Du zurückgegangen bist über die Systemwiederherstellung) installieren. Es gibt eh gerade eine neue Version (2.0.8)... Chris |
|
|
||
22.10.2007, 16:36
...neu hier
Themenstarter Beiträge: 8 |
#9
Er lief bestens bevor ich die Programme zum erstellen der logs benutzt habe, eventuell hat es damit zu tun, dass combofix die registry verändert hat, wie mache ich das rückgängig?
|
|
|
||
22.10.2007, 17:02
Member
Beiträge: 694 |
#10
Hi,
have a look at: C:\Qoobox\Quarantine\.... Bin jetzt weg, habe Kollegen verständigt, vielleicht hat er Zeit... Bin morgen wieder da... Chris |
|
|
||
22.10.2007, 17:25
...neu hier
Themenstarter Beiträge: 8 |
#11
Ist leider leer, hat jemand noch ne andere Idee was da grade falsch eingestellt ist?
Ich beschreibe mal kurz, was auf Web.de angezeigt wird, die Seite kennen ja die meisten: Statt dem normalen layout mit Bildern und Links die mehr oder weniger übersichtlich angeordnet sind, habe ich jetzt nur noch die ganzen links der Seite untereinander aufgelistet, vom ursprünglichen Design der Seite ist nichts mehr zu sehen. Neuinstallation vom firefox hat nichts gebracht, wer kennt sich aus? |
|
|
||
24.10.2007, 09:18
Member
Beiträge: 694 |
#12
Hi,
hab noch was über Firefox gefunden: http://www.zdnet.de/news/software/0,39023144,39158603,00.htm Vielleicht hilft das weiter... chris |
|
|
||
24.10.2007, 10:07
Ehrenmitglied
Beiträge: 6028 |
#13
Entferne via Software Spyware Terminator(Crawler)
http://vil.nai.com/vil/content/v_137764.htm __________ MfG Argus |
|
|
||
24.10.2007, 16:41
...neu hier
Themenstarter Beiträge: 8 |
#14
Danke für die Hilfe.
Was den Browser betrifft bin ich jetzt einfach mal vorläufig auf IE7 umgestiegen, der funktioniert. Vielleicht schau ich mir den firefox nochmal an, wenn er gefixt wird. Den Terminator hab ich samt crawler bereits deinstalliert, als ich firefox gelöscht habe. Ansonsten gehe ich jetzt mal davon aus, dass mein Rechner wieder einigermaßen sicher ist. |
|
|
||
24.10.2007, 16:49
Ehrenmitglied
Beiträge: 6028 |
||
|
||
Daraufhin habe ich folgende Maßnahmen ergriffen:
Internet Explorer durch firefox ersetzt, weil es etwas sicherer sein soll.
Antivir durchlaufen lassen.
Adaware installiert und durchlaufen lassen.
Superantispyware installiert und durchlaufen lassen.
Spybot S&D installiert, Immunisiert und durchlaufen lassen.
Das Passwort geändert.
Es gab einige gefährliche Treffer, die ich entfernt habe.
Ich befürchte allerdings, dass er immernoch drauf ist.
Wie sicher kann ich mir sein, wenn alle genannten Programme keine Treffer mehr ergeben? Ich bin total paranoid geworden. Gibt es noch etwas das ich tun könnte oder sollte?