infizierte Dateien mit Malwarebytes gefunden

#0
26.08.2010, 21:11
Moderator

Beiträge: 5694
#16 Das ist nicht das ganze Log
Seitenanfang Seitenende
26.08.2010, 21:30
Member

Themenstarter

Beiträge: 31
#17 doch, bestimmt. Mehr ist in dem txt-file nicht drin. 342 Byte Unter C:\Combo-fix\combofix.txt

hmm...nochmal das ganze?
Seitenanfang Seitenende
26.08.2010, 21:43
Moderator

Beiträge: 5694
#18 hast Du ne x64 Version?
Seitenanfang Seitenende
26.08.2010, 21:52
Member

Themenstarter

Beiträge: 31
#19 keine Ahnung. Wo kann ich das sehen oder nachschauen?
Seitenanfang Seitenende
27.08.2010, 14:04
Member

Themenstarter

Beiträge: 31
#20 hi swiss,
soll ich combofix nochmal im abgesicherten modus laufen lassen?
hab housecall laufen lassen. da war ne VORBIS~1.dll...Troj generic.DIT.. ist ne datei vom 23recorder. den brauch ich nicht mehr
bei Jotti: vorbisenc.dll nur bei
[ClamAV] 2010-07-14 PUA.Packed.ASPack

grüsse, D
Seitenanfang Seitenende
27.08.2010, 14:21
Member

Themenstarter

Beiträge: 31
#21 so, hab combofix nochmal gestartet. Diesmal gings mit nem richtigen log. Vielleicht lags daran, dass beim erstenmal die Wiederherstellungskonsole noch von MS geladen und installiert wude??

Code

ComboFix 10-08-26.04 - Praxis 27.08.2010  14:08:18.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3582.2691 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Praxis\Desktop\Combo-Fix.exe
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\Praxis\Anwendungsdaten\F0AC7BA579B97762EEDCF28ABA9964E3
c:\dokumente und einstellungen\Praxis\Anwendungsdaten\F0AC7BA579B97762EEDCF28ABA9964E3\enemies-names.txt
c:\programme\Mozilla Firefox\searchplugins\zwunzi132.xml
c:\programme\Mozilla Firefox\searchplugins\zwunzi133.xml

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-27 bis 2010-08-27  ))))))))))))))))))))))))))))))
.

2010-08-25 20:42 . 2010-08-25 20:42    --------    d-----w-    c:\programme\ESET
2010-08-25 20:22 . 2010-08-25 20:22    --------    d-----w-    C:\_OTL
2010-08-25 20:07 . 2010-08-25 20:07    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-08-25 20:07 . 2010-08-25 20:07    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-08-25 20:07 . 2010-08-25 20:07    --------    d-----w-    c:\programme\Java
2010-08-25 20:06 . 2010-08-25 20:06    79488    ----a-w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Sun\Java\jre1.6.0_21\gtapi.dll
2010-08-25 20:06 . 2010-08-25 20:06    152576    ----a-w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Sun\Java\jre1.6.0_21\lzma.dll
2010-08-24 15:24 . 2009-06-30 07:37    28552    ----a-w-    c:\windows\system32\drivers\pavboot.sys
2010-08-24 15:23 . 2010-08-26 17:10    --------    d-----w-    c:\programme\Panda Security
2010-08-23 10:24 . 2010-08-23 10:24    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Malwarebytes
2010-08-23 10:24 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-23 10:24 . 2010-08-23 10:24    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-23 10:24 . 2010-08-23 11:08    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-08-23 10:24 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-08-23 08:41 . 2010-08-23 08:41    150464    ----a-w-    c:\dokumente und einstellungen\Administrator.PC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-23 08:38 . 2010-08-23 08:38    --------    d-sh--w-    c:\dokumente und einstellungen\Administrator.PC\IETldCache
2010-08-21 08:25 . 2010-08-21 10:15    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-08-19 21:45 . 2010-08-20 20:19    455712    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-19 10:14 . 2010-08-19 10:14    --------    d-----w-    c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-08-18 14:23 . 2010-08-18 14:23    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-08-18 12:55 . 2010-08-18 12:55    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Lokale Einstellungen\Anwendungsdaten\Nero_AG
2010-08-18 12:28 . 2010-08-18 12:28    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Lokale Einstellungen\Anwendungsdaten\Nero
2010-08-18 12:26 . 2010-08-18 12:26    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Nero
2010-08-18 11:25 . 2009-09-04 15:29    1974616    ----a-w-    c:\windows\system32\D3DCompiler_42.dll
2010-08-18 11:25 . 2009-09-04 15:29    1892184    ----a-w-    c:\windows\system32\D3DX9_42.dll
2010-08-18 11:25 . 2008-10-15 04:22    4379984    ----a-w-    c:\windows\system32\D3DX9_40.dll
2010-08-18 11:25 . 2007-07-19 16:14    3727720    ----a-w-    c:\windows\system32\d3dx9_35.dll
2010-08-18 11:25 . 2007-05-16 14:45    3497832    ----a-w-    c:\windows\system32\d3dx9_34.dll
2010-08-18 11:25 . 2010-08-18 11:25    --------    d-----w-    c:\windows\Logs
2010-08-16 17:39 . 2010-08-16 17:39    --------    d-----w-    c:\dokumente und einstellungen\All Users\CyberLink
2010-08-16 17:26 . 2010-08-16 17:28    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\CyberLink
2010-08-16 17:26 . 2010-08-16 17:39    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2010-08-16 17:21 . 2010-08-16 17:39    --------    d-----w-    c:\programme\CyberLink
2010-08-16 15:29 . 2003-01-26 11:41    40960    ----a-w-    c:\windows\system32\ssubtmr6.dll
2010-08-16 13:39 . 2010-08-25 20:22    --------    d-----w-    c:\programme\Ask.com
2010-08-16 13:38 . 2010-08-16 13:38    --------    d-----w-    c:\programme\Foxit Software
2010-08-16 13:17 . 2010-08-16 20:10    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\vlc
2010-08-16 11:47 . 2010-08-16 11:47    --------    d-----w-    c:\programme\CCleaner
2010-08-16 08:53 . 2010-08-16 08:53    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Lokale Einstellungen\Anwendungsdaten\Power2Go
2010-08-15 23:10 . 2010-08-15 23:10    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Startmenü
2010-08-15 23:06 . 2010-08-19 14:29    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp
2010-08-14 11:33 . 2003-10-21 19:19    45056    ------w-    c:\windows\system32\PTRCGER.DLL
2010-08-10 18:34 . 2010-08-10 18:34    --------    d-sh--w-    c:\dokumente und einstellungen\Praxis\IECompatCache
2010-08-10 09:41 . 2010-06-01 17:37    221568    ------w-    c:\windows\system32\MpSigStub.exe
2010-08-10 09:39 . 2010-08-10 09:40    --------    d-----w-    c:\programme\Microsoft Security Essentials
2010-08-10 09:26 . 2010-08-10 09:26    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-08-10 08:45 . 2010-08-10 08:45    --------    d-----w-    c:\dokumente und einstellungen\Administrator\IETldCache
2010-08-10 08:45 . 2010-08-10 08:49    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2010-08-10 08:45 . 2010-08-10 08:48    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
2010-08-10 08:45 . 2010-08-10 08:48    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2010-08-10 08:45 . 2010-01-08 20:35    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-08-10 08:45 . 2010-08-15 23:10    --------    d-s---w-    c:\dokumente und einstellungen\Administrator
2010-08-10 08:45 . 2010-08-10 08:48    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Vorlagen
2010-08-09 21:30 . 2010-08-09 21:30    --------    d-----w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-08-09 19:00 . 2009-10-27 23:36    1152444    ----a-w-    c:\windows\UDB.zip
2010-08-09 19:00 . 2008-11-26 10:08    131    ----a-w-    c:\windows\IDB.zip
2010-08-09 18:59 . 2010-08-10 09:22    --------    d-----w-    c:\programme\Spyware Doctor
2010-08-09 18:59 . 2010-08-10 09:22    --------    d-----w-    c:\programme\Gemeinsame Dateien\PC Tools
2010-08-09 09:36 . 2010-08-10 09:24    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\vlc(2)
2010-08-03 13:52 . 2010-08-03 13:52    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Lokale Einstellungen\Anwendungsdaten\RapidSolution
2010-08-01 12:30 . 2010-08-01 12:30    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Auslogics
2010-08-01 12:30 . 2010-08-01 12:30    --------    d-----w-    c:\programme\Auslogics
2010-07-31 09:23 . 2010-08-03 13:54    --------    d-----w-    c:\programme\PS3 Media Server
2010-07-31 08:33 . 2010-07-31 08:33    --------    d-----w-    c:\programme\TVersity

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-27 12:04 . 2009-12-30 14:16    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Skype
2010-08-27 09:00 . 2010-08-25 20:23    0    ----a-w-    c:\windows\system32\drivers\lvuvc.hs
2010-08-23 08:59 . 2008-04-14 12:00    85014    ----a-w-    c:\windows\system32\perfc007.dat
2010-08-23 08:59 . 2008-04-14 12:00    459642    ----a-w-    c:\windows\system32\perfh007.dat
2010-08-22 17:22 . 2008-12-15 20:39    --------    d-----w-    c:\programme\Gemeinsame Dateien\NewSoft
2010-08-22 08:38 . 2009-01-10 17:00    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\MagicMaps
2010-08-22 07:41 . 2010-01-08 18:20    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-08-21 10:13 . 2008-12-30 18:11    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-20 13:41 . 2010-05-08 19:30    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Free Download Manager
2010-08-19 14:31 . 2009-01-10 16:58    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\MagicMaps
2010-08-18 12:24 . 2009-11-15 21:43    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2010-08-18 12:24 . 2008-12-11 18:35    --------    d-----w-    c:\programme\Nero
2010-08-18 12:18 . 2008-12-14 13:22    --------    d-----w-    c:\programme\Gemeinsame Dateien\Nero
2010-08-17 20:05 . 2008-11-29 00:06    --------    d--h--w-    c:\programme\InstallShield Installation Information
2010-08-16 19:41 . 2009-06-06 10:35    --------    d-----w-    c:\programme\7-Zip
2010-08-16 17:39 . 2010-01-04 17:29    150464    ----a-w-    c:\dokumente und einstellungen\Praxis\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-16 00:08 . 2010-05-07 05:27    --------    d-----w-    c:\programme\Free Video Converter
2010-08-14 19:49 . 2008-12-12 19:17    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\dvdcss
2010-08-14 11:34 . 2010-05-09 17:45    --------    d-----w-    c:\programme\Brownie
2010-08-14 11:33 . 2010-05-09 17:29    34    ------w-    c:\windows\system32\BD5270DN.DAT
2010-08-11 06:33 . 2009-12-30 14:21    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\skypePM
2010-08-09 10:53 . 2009-06-06 13:47    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\GARMIN
2010-08-08 20:15 . 2010-01-09 11:45    --------    d-----w-    c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Music Editor Free
2010-08-07 12:38 . 2010-08-03 14:09    --------    d-----w-    c:\programme\Radiotracker 6
2010-08-04 11:54 . 2008-11-29 08:52    --------    d-----w-    c:\programme\Windows Media Connect 2
2010-08-03 15:24 . 2010-07-09 14:24    867664    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution\GUIcommon.dll
2010-08-03 13:24 . 2009-06-29 21:58    --------    d-----w-    c:\programme\EasyGeo GPS Konverter
2010-07-27 14:32 . 2008-12-21 16:58    --------    d-----w-    c:\programme\Ulead Systems
2010-07-27 14:30 . 2010-05-10 21:45    --------    d-----w-    c:\programme\Pinnacle
2010-07-27 14:27 . 2008-12-29 14:07    --------    d-----w-    c:\programme\DxO Labs
2010-07-26 10:05 . 2009-01-09 19:10    --------    d-----w-    c:\programme\MagicMaps
2010-07-22 11:59 . 2010-07-22 11:59    0    ------w-    c:\windows\system32\drivers\Msft_Kernel_ggflt_01007.Wdf
2010-07-22 11:59 . 2010-07-22 11:59    0    ------w-    c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
2010-07-22 11:59 . 2010-07-22 11:59    0    ------w-    c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-07-22 11:37 . 2010-07-22 11:37    108480    ------w-    c:\windows\system32\drivers\AnyDVD.sys
2010-07-22 11:26 . 2010-07-22 11:26    27632    ------w-    c:\windows\system32\drivers\seehcri.sys
2010-07-22 11:26 . 2010-07-22 11:26    25512    ------w-    c:\windows\system32\drivers\ggsemc.sys
2010-07-22 11:26 . 2010-07-22 11:26    13224    ------w-    c:\windows\system32\drivers\ggflt.sys
2010-07-22 11:26 . 2010-07-22 11:26    1112288    ------w-    c:\windows\system32\WdfCoInstaller01007.dll
2010-07-22 11:25 . 2010-07-22 11:25    --------    d-----w-    c:\programme\Sony Ericsson
2010-07-15 10:49 . 2010-07-15 10:49    10    ----a-w-    c:\windows\EVYPATHS.DAT
2010-07-15 10:42 . 2010-07-15 10:42    32656    ----a-w-    c:\windows\EVYRTD7S.DLL
2010-07-15 10:42 . 2010-07-15 10:42    698768    ----a-w-    c:\windows\EVYRTE7S.EXE
2010-07-11 20:09 . 2010-07-11 20:09    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-06-30 12:28 . 2008-04-14 12:00    149504    ------w-    c:\windows\system32\schannel.dll
2010-06-30 09:58 . 2010-06-30 09:58    --------    d-----w-    c:\windows\system32\config\systemprofile\Anwendungsdaten\Foxit Software
2010-06-24 12:22 . 2008-04-14 12:00    916480    ------w-    c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2008-04-14 12:00    1852032    ------w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2008-04-14 12:00    354304    ------w-    c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2008-04-14 12:00    80384    ------w-    c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2008-11-28 23:27    744448    ------w-    c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2008-04-14 12:00    1172480    ------w-    c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"gStart"="c:\garmin\gStart.exe" [2008-08-13 1891416]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-07-27 4455360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-11-17 18789408]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"nwiz"="nwiz.exe" [2008-07-26 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-26 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-26 13570048]
"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]
"LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 127022]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"NBAgent"="c:\programme\Nero\Nero 10\Nero BackItUp\NBAgent.exe" [2010-03-26 1234216]
"UpdatePPShortCut"="c:\programme\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"UpdatePSTShortCut"="c:\programme\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2009-09-29 210216]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Ralink Wireless Utility.lnk - c:\programme\Ralink\Common\RaUI.exe [2010-4-29 1662976]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ChangeFilterMerit
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Presto! PVR Monitor

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=2 (0x2)
"ACDaemon"=2 (0x2)
"Lavasoft Ad-Aware Service"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53168:TCP"= 53168:TCP:*:Disabled:Mezzmo Medienserverdienst

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [24.08.2010 17:24 28552]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [14.12.2008 15:21 61440]
R2 NAUpdate;@c:\programme\Nero\Update\NASvc.exe,-200;c:\programme\Nero\Update\NASvc.exe [25.03.2010 14:39 490280]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 13:31 92008]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [22.07.2010 13:26 27632]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate1c9bb97855b8756;Google Update Service (gupdate1c9bb97855b8756);c:\programme\Google\Update\GoogleUpdate.exe [12.04.2009 19:53 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [08.01.2010 08:23 1684736]
S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys --> c:\windows\system32\drivers\bdacap.sys [?]
S3 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\GEST\GSvr.exe [29.11.2008 02:06 47624]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [22.07.2010 13:26 13224]
S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\DRIVERS\GLKbFilter.sys --> c:\windows\system32\DRIVERS\GLKbFilter.sys [?]
S3 HCW713x;Hauppauge 713x VU PCI TV Card;c:\windows\system32\drivers\HCW713x.sys [13.12.2008 23:05 827776]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [14.12.2008 15:21 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [14.12.2008 15:21 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [14.12.2008 15:21 17536]
S3 PS3 Media Server;PS3 Media Server;"c:\programme\PS3 Media Server\win32\service\wrapper.exe" -s "c:\programme\PS3 Media Server\win32\service\wrapper.conf" --> c:\programme\PS3 Media Server\win32\service\wrapper.exe [?]
S3 QCEmerald;Logitech QuickCam Web(PID_0850);c:\windows\system32\drivers\lvce.sys [03.01.2010 13:20 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2}]
2010-02-16 17:02    114688    ----a-w-    c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2010-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-12 17:52]

2010-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-12 17:52]

2010-08-27 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]

2010-01-08 c:\windows\Tasks\Wise Registry Cleaner 4.job
- c:\programme\Wise Registry Cleaner\WiseRegistryCleaner.exe [2010-01-08 22:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Praxis\Anwendungsdaten\Mozilla\Firefox\Profiles\xws89yhg.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Polar Sync - (no file)
AddRemove-SLABCOMM&10C4&EA60 - c:\windows\system32\Silabs\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-27 14:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  Polar Sync = ?:\program files\polar\polar sync\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
  Creative Detector = "c:\programme\Creative\MediaSource\Detector\CTDetect.exe" /R????xQ??????????????????????????N???????????????????????????????#?8~????????????????????????????????????????m???????`?9~????????????:P????????????????????????7~??u???????????7~????????????????`???s??|

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,46,ca,26,f7,ee,b3,75,4c,8f,ce,56,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,46,ca,26,f7,ee,b3,75,4c,8f,ce,56,\

[HKEY_USERS\S-1-5-21-776561741-1425521274-1801674531-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(808)
c:\windows\system32\MSVCP60.dll

- - - - - - - > 'explorer.exe'(3912)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-08-27  14:11:51
ComboFix-quarantined-files.txt  2010-08-27 12:11

Vor Suchlauf: 15 Verzeichnis(se), 57.342.709.760 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 57.364.078.592 Bytes frei

- - End Of File - - 9FE34C2ADC2207C940317CE4271E2444
Seitenanfang Seitenende
27.08.2010, 19:06
Moderator

Beiträge: 5694
#22 Wie läuft das System?
Seitenanfang Seitenende
27.08.2010, 19:17
Member

Themenstarter

Beiträge: 31
#23 nabend swiss,
bisher weiterhin nichts besonderes...bin halt insgesamt verunsichert bezgl evtl weiterhin bestehender trojaner..rootkits ...die ich mir bei dem malwaredoctor eingefangen haben könnte...zb. hatte ich im firewall unter Ausnahmen alle Häkchen entfernt, aber trotzdem war da immer wieder ein Häkchen bei Datei und Druckerfreigabe...hmm, weiss aber nicht ob das etwas mit Viren/Trojaner zu tun hat. Jetzt bleibt das Häkchen auch weg.... ob da jemand Fremder/Böses in meinem Netzwerk "sitzt"....auch diese Meldung bezgl Firewall nach dem Start....
können wir sonst was tun, um zu schaun ob da was Böses auf meinem Rechner sich tummelt.
Seitenanfang Seitenende
27.08.2010, 19:24
Member

Themenstarter

Beiträge: 31
#24 achso, das System@com[1].txt cookie bzw der komplette Ordner "Cookies" ist jetzt weg,
dies "Enemies-names.txt ist weg, jedoch dies "vbrad.trayicon" in der Registry ist noch da.
Seltsam?, dass nach dem ersten Durchlauf von Combofix es unter c: einen ordner "Combo-Fix" gab, da stand das logfile drin und jedemenge andere Dateien, jetzt nach dem 2ten Durchlauf ist der Ordner komplett leer und das logfile steht jetzt direkt in c: als combofix.txt...

meinst du diese fakeyak, renos, bubnix und Konsorten sind vertrieben?
ich trau mich noch garnicht von dem Rechner mails abzurufen oder banking zu erledigen

müssen wir noch irgendwelche Programme oder dateien in Quaratäneordner löschen?
Dieser Beitrag wurde am 27.08.2010 um 19:34 Uhr von demosthenes editiert.
Seitenanfang Seitenende
27.08.2010, 22:00
Moderator

Beiträge: 5694
#25 Mach bitte noch folgende Onlinescans: FSecure, Bitdefender, ESET
http://forum.hijackthis.de/allgemeines/25893-kostenlose-online-scanner.html
Seitenanfang Seitenende
28.08.2010, 11:12
Member

Themenstarter

Beiträge: 31
#26 guten morgen,
bitdefender geht irgendwie nicht. Liegt das am Firefox?
F-secure fragt nicht nach einem Firefox Addon, ist auch keins drin, scannt nur C:, obwohl da bei Ziel C.\D:\G:\ steht, ist nach ca 15 minuten schon fertig. Sytem sei clean (log kommt später)
hab bei Virustotal die services.exe und svchost.exe gescannt (log kommt später)
soll ich vielleicht auch mal hijackthis machen? hatten wir noch gar nicht.
bis nachher, D
Dieser Beitrag wurde am 28.08.2010 um 11:26 Uhr von demosthenes editiert.
Seitenanfang Seitenende
28.08.2010, 12:29
Moderator

Beiträge: 5694
#27 Was geht bei Bitdefender nicht?
Nein Hackthis brauche ich nicht.
Seitenanfang Seitenende
28.08.2010, 13:23
Member

Themenstarter

Beiträge: 31
#28 bitdefender nicht mit firefox, mit IE gingd

Code

BitDefender Online Scanner - Echtzeit-Virenmeldung

Erstellt am: Sat, Aug 28, 2010 - 12:55:34

--------------------------------------------------------------------------------
    
Prüf-Info
    
Geprüfte Dateien
100892

Infizierte Dateien
0
  
Erkannte Viren
    
Keine Viren gefunden



ESET Log

Code

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=328114284efb0646acac622d07698268
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-08-28 10:12:15
# local_time=2010-08-28 12:12:15 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5891 16776869 100 100 58685 13443550 0 0
# compatibility_mode=8192 67108863 100 0 216450 216450 0 0
# scanned=147101
# found=2
# cleaned=0
# scan_time=4965
D:\DATENSICHERUNG\Outlook Express\SPAM.dbx    multiple threats (unable to clean)    00000000000000000000000000000000    I
G:\DATENSICHERUNG\Outlook Express\SPAM.dbx    multiple threats (unable to clean)    00000000000000000000000000000000    I



f-Secure

Code

Keine Malware gefunden

--------------------------------------------------------------------------------

Statistik
Gescannt:
Dateien: 53720
System: 4245
Nicht gescannt: 8
Aktionen:
Desinfiziert: 0
Umbenannt: 0
Gelöscht: 0
Nicht bereinigt: 0
Übermittelt: 0
Nicht gescannte Dateien:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\DOKUMENTE UND EINSTELLUNGEN\PRAXIS\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_PRAXIS\2928
C:\DOKUMENTE UND EINSTELLUNGEN\PRAXIS\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_PRAXIS\1420

--------------------------------------------------------------------------------

Optionen
Scan-Engines:
Scanoptionen:
Festgelegte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Erweiterte Heuristik verwenden


Virustotal, die services.exe

Code

eSafe      7.0.17.0      2010.08.26      Win32.TrojanHorse
McAfee-GW-Edition      2010.1B      2010.08.27      Heuristic.BehavesLike.Win32.Suspicious.H

MD5   : a3edbe9053889fb24ab22492472b39dc
SHA1  : 7153d4d113c47379fb57aad4918a2f2a64f0c9ee
SHA256: 6f2ed6e04bde2fca2a8bf9bd2d1d6923de6eaecb46f582b6c0bd1cf364d65c9e
ssdeep: 1536:HAj12id0hKy+k1DQ+7Gpj3r4M7TGfwG1K9IJvydlnk4pCxvmA:HAG1DQgGpj3Cf1K9IByd
lk+cvmA
File size : 111104 bytes
First seen: 2009-04-16 08:46:50
Last seen : 2010-08-28 10:20:11
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Anwendung f_r Dienste und Controller
original name: services.exe
internal name: services.exe
file version.: 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0xBF63
timedatestamp....: 0x498C1AC8 (Fri Feb 06 11:11:04 2009)
machinetype......: 0x14C (Intel I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x196A5, 0x19800, 6.23, bf32e1a6f4363e9fffea31d970bdebf2
.data, 0x1B000, 0xA38, 0xC00, 1.78, 817a9a6979796d656eb64e994df5db0a
.rsrc, 0x1C000, 0x850, 0xA00, 3.86, 5ecabec1284399883afe76f8a296e48c

[[ 10 import(s) ]]
advapi32.dll: AllocateLocallyUniqueId, RegOpenKeyW, ConvertSidToStringSidW, AllocateAndInitializeSid, FreeSid, LogonUserExW, LsaStorePrivateData, LsaLookupNames, AddAccessAllowedAce, SetTokenInformation, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, SystemFunction029, SystemFunction005, CheckTokenMembership, LsaQueryInformationPolicy, OpenThreadToken, RegNotifyChangeKeyValue, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, GetSecurityDescriptorDacl, GetLengthSid, CopySid, InitializeAcl, AddAce, SetSecurityDescriptorDacl, LsaOpenPolicy, LsaLookupSids, LsaFreeMemory, LsaClose, GetTokenInformation, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, InitiateSystemShutdownW, RevertToSelf, CreateProcessAsUserW, ImpersonateLoggedOnUser
kernel32.dll: GetCurrentThread, CreateMutexW, ReleaseMutex, ExitThread, FormatMessageW, lstrcmpiW, SetProcessShutdownParameters, DelayLoadFailureHook, RaiseException, GetExitCodeThread, SetConsoleCtrlHandler, SetErrorMode, SetUnhandledExceptionFilter, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcess, UnhandledExceptionFilter, GetModuleHandleA, OpenEventW, LocalAlloc, LocalFree, Sleep, LeaveCriticalSection, EnterCriticalSection, SetLastError, CloseHandle, CreateThread, GetLastError, CreateProcessW, ExpandEnvironmentStringsW, InitializeCriticalSection, HeapAlloc, HeapFree, TerminateProcess, WaitForSingleObject, HeapCreate, FreeLibrary, GetProcAddress, GetModuleHandleExW, InterlockedCompareExchange, CreateNamedPipeW, ReadFile, CancelIo, GetOverlappedResult, WaitForMultipleObjects, ConnectNamedPipe, TransactNamedPipe, WriteFile, GetTickCount, GetSystemTimeAsFileTime, GetModuleHandleW, GetComputerNameW, CreateEventW, SetEvent, ResetEvent, DeviceIoControl, CreateFileW, ResumeThread, GetCurrentProcessId, LoadLibraryW, GetDriveTypeW
msvcrt.dll: _itow, wcsrchr, time, _except_handler3, memmove, wcschr, _c_exit, _exit, wcsncmp, _XcptFilter, _cexit, exit, _wcsnicmp, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _wtol, wcscpy, wcscat, wcsncpy, _wcsicmp, __initenv, wcslen, wcscspn, _ultow
ncobjapi.dll: WmiCreateObjectWithFormat, WmiEventSourceConnect, WmiSetAndCommitObject
ntdll.dll: RtlCreateSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreateKey, NtQueryValueKey, NtSetValueKey, NtDeleteValueKey, NtEnumerateKey, NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, NtDeleteKey, RtlSetControlSecurityDescriptor, RtlValidSecurityDescriptor, RtlLengthSecurityDescriptor, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtAccessCheckAndAuditAlarm, NtSetInformationThread, NtAdjustPrivilegesToken, NtDuplicateToken, NtOpenProcessToken, RtlSetDaclSecurityDescriptor, RtlQuerySecurityObject, RtlSetSecurityObject, RtlValidRelativeSecurityDescriptor, RtlMapGenericMask, RtlCopyUnicodeString, NtSetInformationFile, NtQueryInformationFile, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtWaitForSingleObject, NtQueryDirectoryFile, NtDeleteFile, NtSetInformationProcess, RtlUnhandledExceptionFilter, NtSetEvent, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlAllocateHeap, RtlConvertSharedToExclusive, RtlConvertExclusiveToShared, RtlRegisterWait, RtlGetNtProductType, RtlEqualUnicodeString, RtlLengthSid, RtlCopySid, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlUnicodeStringToAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlNewSecurityObject, RtlAddAce, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlSubAuthorityCountSid, RtlCompareUnicodeString, NtLoadDriver, NtUnloadDriver, RtlExpandEnvironmentStrings_U, RtlAdjustPrivilege, NtFlushKey, NtOpenFile, RtlDosPathNameToNtPathName_U, NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject, RtlFreeUnicodeString, RtlAreAllAccessesGranted, NtDeleteObjectAuditAlarm, NtCloseObjectAuditAlarm, RtlQueueWorkItem, RtlCopyLuid, RtlDeregisterWait, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, RtlInitializeResource, RtlDeleteSecurityObject, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlUnlockBootStatusData, NtInitializeRegistry, NtQueryKey, NtClose, RtlInitUnicodeString, NtSetSystemEnvironmentValue, RtlNtStatusToDosError, NtShutdownSystem, NtQueryInformationToken, RtlMakeSelfRelativeSD, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtSetSecurityObject
rpcrt4.dll: RpcServerRegisterAuthInfoW, RpcBindingFree, RpcEpResolveBinding, RpcBindingFromStringBindingW, RpcStringBindingComposeW, NdrClientCall2, RpcAsyncCompleteCall, RpcAsyncInitializeHandle, NdrAsyncServerCall, RpcServerListen, RpcMgmtStopServerListening, RpcMgmtWaitServerListen, RpcServerUnregisterIf, NdrAsyncClientCall, NdrServerCall2, I_RpcBindingIsClientLocal, RpcRevertToSelf, I_RpcMapWin32Status, RpcImpersonateClient, RpcStringBindingParseW, RpcStringFreeW, RpcBindingToStringBindingW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerRegisterIf
scesrv.dll: ScesrvInitializeServer, ScesrvTerminateServer
umpnpmgr.dll: RegisterScmCallback, PNP_SetActiveService, PNP_GetDeviceRegProp, PNP_GetDeviceListSize, PNP_GetDeviceList, PNP_HwProfFlags, RegisterServiceNotification, DeleteServicePlugPlayRegKeys
user32.dll: LoadStringW, wsprintfW, BroadcastSystemMessageW, MessageBoxW, RegisterServicesProcess
userenv.dll: UnloadUserProfile, CreateEnvironmentBlock, LoadUserProfileW, DestroyEnvironmentBlock

die svchost.exe

Code

eSafe      7.0.17.0      2010.08.26      Win32.TrojanHorse
MD5   : 4fbc75b74479c7a6f829e0ca19df3366
SHA1  : 97c7c354c12b89c797740b35ed81879be58f3deb
SHA256: a42568851b48fb9924b3fe18c8a0f3ceecd850254257cfe6c5f168c08f408ef0
ssdeep: 384:Wdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:KcG6xlCRaJKGOA7SHJ
File size : 14336 bytes
First seen: 2009-02-08 16:38:05
Last seen : 2010-08-27 17:05:01
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Generic Host Process for Win32 Services
original name: svchost.exe
internal name: svchost.exe
file version.: 5.1.2600.5512 (xpsp.080413-2111)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2509
timedatestamp....: 0x48025BC0 (Sun Apr 13 19:15:12 2008)
machinetype......: 0x14C (Intel I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x2C00, 0x2C00, 6.29, 48331595af9d9d52b478844a07357653
.data, 0x4000, 0x210, 0x200, 1.62, cbd504e46c836e09e8faabdcfbabaec2
.rsrc, 0x5000, 0x408, 0x600, 2.51, dcede0c303bbb48c6875eb64477e5882
CWSandbox:
http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4fbc75b74479c7a6f829e0ca19df3366
Symantec reputation:Suspicious.Insight


Jotti meldet nix, sagt dass die services.msc am 18.juli schon mal analysiert wurde. Von mir !definitiv nicht! zur überprüfung hochgeladen.

Was machen wir mit dem "vbrad.trayicon" ?
Seitenanfang Seitenende
28.08.2010, 13:29
Moderator

Beiträge: 5694
#29 Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben Combo-Fix.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2

Programme updaten

Du verwendest zum Teil veraltete Software, die Sicherheitslücken auf deinem System bildet, durch die Malware eindringen kann. Alle Software, die du auf deinem Rechner hast, muss regelmäßig geupdatet werden, auch dann, wenn du sie nicht verwendest. Eine einfache Möglichkeit, diese Software Updates zu überwachen, bietet der Secunia Inspektor.
Seitenanfang Seitenende
28.08.2010, 14:30
Member

Themenstarter

Beiträge: 31
#30 Combo-Fix.exe konnte nicht gefunden werden. Stellen sie sicher usw...
Datei ist als "Combo-Fix.exe" auf dem Desktop.
sind da evtl Leerzeichen nach exe oder nach dem / ??
liegts vielleicht an dem Schreibschutz?
auch nach Neustart gleiche wie oben.
oder hat Panda activscan die vielleicht in Quaratäne?
was nun?
Dieser Beitrag wurde am 28.08.2010 um 14:42 Uhr von demosthenes editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: