#1 26. November 2009 Nabend, als ich vorhin von der Arbeit nach hause kam und mich mit meinem WoW Account einloggen wollte sagte er mir Passwort falsch. Joar erstmal E-Mails gecheckt und gesehen das 3 Mails von Blizzard da waren 1.das mein PW geändert wurder, 2. das Pw zurück gesetzt wurde, 3. das mein Account auf grund von Fremdzugriff für 24std. gesperrt wurde. So aber E-Mail Pw wurde nicht geändert obwohl es das selbe war wie vom WoW Account und mann sich ja neuerdings mit der E-Mail einloggen muss. Naja AntiVir hat nichts gefunden Hijackthis log ist angehängt wäre nett wenn mal jemand drüber schaut Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:37:26, on 26.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Java\jre6\bin\jucheck.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{69EEF91D-7A92-4854-9BB3-93C5F1450876}: NameServer = 192.168.0.1 O20 - Winlogon Notify: RelevantKnowledge - C:\programme\relevantknowledge\rlls.dll (file missing) O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4712 bytes + Multi-Zitat Zitieren
#2 26. November 2009 AW: Keylogger auf dem Pc? O20 - Winlogon Notify: RelevantKnowledge - C:\programme\relevantknowledge\rlls.dll (file missing) Art Schädlich (2.24 / 5.00) den würd ich mal fixen bei dem rest, kp sry + Multi-Zitat Zitieren
#3 26. November 2009 AW: Keylogger auf dem Pc? So hab 2 Sachen gefixt hier das aktuelle Log File Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:04:53, on 26.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{69EEF91D-7A92-4854-9BB3-93C5F1450876}: NameServer = 192.168.0.1 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4642 bytes + Multi-Zitat Zitieren
#4 26. November 2009 AW: Keylogger auf dem Pc? Malwarebytes : Malwarebytes Anti-Malware Pro starten Anleitung Anleitung: Malwarebytes Anti-Malware - Trojaner-Board Den Log dann bitte posten. Anschliessend Combofix starten und den Log auch posten. Combofix: Combofix + Multi-Zitat Zitieren
#5 27. November 2009 AW: Keylogger auf dem Pc? das Explorer.EXE macht mir sorgen.. wird das schon so angegeben?.. versuche mal das zu schließen.. wenn danach die startleiste verschwinden sollte, einfach unter neuer task "explorer.exe" wieder eingeben... ist mir aber neu, dass das EXE dabei groß geschrieben wird. + Multi-Zitat Zitieren
#6 27. November 2009 AW: Keylogger auf dem Pc? So Malwarebyte und ComboFix ist durch gelaufen. Ich glaube es ist ein Keylogger, war vorhin in WoW on mit neuem Pw usw. und hab die ganze zeit Server verbindung wurde getrennt bekommen, dass kommt eigentlich wenn jemand anders sich einlogt. Wegen der explorer.exe der ist im Taskmanager klein geschrieben und Startleiste verschwindet beim beenden Malwarebyte log: Spoiler Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3242 Windows 5.1.2600 Service Pack 2 27.11.2009 17:34:36 mbam-log-2009-11-27 (17-34-33).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 204579 Laufzeit: 1 hour(s), 45 minute(s), 14 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 1 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: C:\Programme\RelevantKnowledge (Spyware.MarketScore) -> No action taken. Infizierte Dateien: (Keine bösartigen Objekte gefunden) ComboFix log: Spoiler ComboFix 09-11-26.02 - kp 27.11.2009 18:51.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.221 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\kp\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FW: ZoneAlarm Pro Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\RelevantKnowledge . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MSDIRECTX -------\Legacy_OREANS32 -------\Service_oreans32 ((((((((((((((((((((((( Dateien erstellt von 2009-10-27 bis 2009-11-27 )))))))))))))))))))))))))))))) . 2009-11-27 12:55 . 2009-11-27 12:55 -------- d-----w- c:\dokumente und einstellungen\kp\Anwendungsdaten\Malwarebytes 2009-11-27 12:55 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-11-27 12:55 . 2009-11-27 12:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-11-27 12:55 . 2009-11-27 12:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-27 12:55 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-11-26 15:27 . 2009-11-26 18:07 79488 ----a-w- c:\dokumente und einstellungen\kp\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-11-07 11:54 . 2009-11-07 11:55 -------- d-----w- c:\windows\system32\NtmsData 2009-11-06 18:52 . 2009-11-06 18:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment 2009-10-30 14:24 . 2009-10-30 14:24 -------- d-----w- c:\dokumente und einstellungen\kp\Anwendungsdaten\runic games . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-27 17:42 . 2009-01-27 12:39 4212 ---h--w- c:\windows\system32\zllictbl.dat 2009-11-26 19:33 . 2009-01-27 02:13 -------- d-----w- c:\programme\Warcraft III 2009-11-25 18:17 . 2009-01-27 01:38 -------- d-----w- c:\programme\World of Warcraft 2009-11-24 15:21 . 2009-11-24 15:21 2522112 ----a-w- c:\windows\Internet Logs\xDB7B.tmp 2009-11-22 10:25 . 2009-11-22 10:26 2518016 ----a-w- c:\windows\Internet Logs\xDB79.tmp 2009-11-22 10:25 . 2009-11-22 10:25 2518016 ----a-w- c:\windows\Internet Logs\xDB78.tmp 2009-11-20 17:34 . 2009-01-27 16:20 -------- d-----w- c:\dokumente und einstellungen\kp\Anwendungsdaten\teamspeak2 2009-11-19 17:50 . 2009-11-19 17:50 5324800 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2009_11_18_19_03_51_full.dmp.zip 2009-11-19 16:29 . 2009-11-19 17:44 78336 ----a-w- c:\windows\Internet Logs\xDB77.tmp 2009-11-18 19:04 . 2009-11-18 19:06 47616 ----a-w- c:\windows\Internet Logs\xDB76.tmp 2009-11-18 18:04 . 2009-11-18 18:04 2506240 ----a-w- c:\windows\Internet Logs\xDB7A.tmp 2009-11-18 17:31 . 2009-11-18 17:31 2505728 ----a-w- c:\windows\Internet Logs\xDB75.tmp 2009-11-18 15:40 . 2009-11-18 15:40 2505216 ----a-w- c:\windows\Internet Logs\xDB74.tmp 2009-11-15 17:24 . 2009-11-16 18:35 18944 ----a-w- c:\windows\Internet Logs\xDB73.tmp 2009-11-15 17:22 . 2009-11-15 17:23 132096 ----a-w- c:\windows\Internet Logs\xDB72.tmp 2009-11-12 17:09 . 2009-11-12 17:10 2493952 ----a-w- c:\windows\Internet Logs\xDB71.tmp 2009-11-08 01:30 . 2009-11-08 01:34 58880 ----a-w- c:\windows\Internet Logs\xDB70.tmp 2009-11-07 03:53 . 2009-11-07 03:53 2477568 ----a-w- c:\windows\Internet Logs\xDB6F.tmp 2009-11-07 03:53 . 2009-11-07 03:53 14848 ----a-w- c:\windows\Internet Logs\xDB6E.tmp 2009-11-07 03:53 . 2009-11-07 03:53 2477568 ----a-w- c:\windows\Internet Logs\xDB6D.tmp 2009-11-07 03:53 . 2009-11-07 03:53 15360 ----a-w- c:\windows\Internet Logs\xDB6C.tmp 2009-11-07 03:52 . 2009-11-07 03:52 2477568 ----a-w- c:\windows\Internet Logs\xDB6B.tmp 2009-11-07 03:52 . 2009-11-07 03:52 38912 ----a-w- c:\windows\Internet Logs\xDB6A.tmp 2009-11-06 22:30 . 2009-07-04 12:57 -------- d-----w- c:\programme\Diablo II 2009-11-06 13:47 . 2009-11-06 13:50 2476032 ----a-w- c:\windows\Internet Logs\xDB69.tmp 2009-11-06 13:47 . 2009-11-06 13:50 267776 ----a-w- c:\windows\Internet Logs\xDB68.tmp 2009-10-30 21:47 . 2009-10-30 21:47 2467840 ----a-w- c:\windows\Internet Logs\xDB67.tmp 2009-10-30 14:29 . 2009-01-27 02:57 -------- d-----w- c:\programme\Steam 2009-10-28 15:16 . 2009-10-28 15:16 2465280 ----a-w- c:\windows\Internet Logs\xDB66.tmp 2009-10-27 18:47 . 2009-10-27 18:47 152576 ----a-w- c:\dokumente und einstellungen\kp\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll 2009-10-27 16:38 . 2009-03-17 14:10 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-10-27 15:01 . 2001-08-18 12:00 80662 ----a-w- c:\windows\system32\perfc007.dat 2009-10-27 15:01 . 2001-08-18 12:00 449248 ----a-w- c:\windows\system32\perfh007.dat 2009-10-24 11:13 . 2009-10-24 15:22 2457600 ----a-w- c:\windows\Internet Logs\xDB65.tmp 2009-10-24 11:13 . 2009-10-24 15:22 111104 ----a-w- c:\windows\Internet Logs\xDB64.tmp 2009-10-22 14:31 . 2009-10-17 12:05 -------- d-----w- c:\programme\KalOnlineEng 2009-10-19 13:15 . 2009-10-19 13:15 119808 ----a-w- c:\windows\Internet Logs\xDB63.tmp 2009-10-17 17:11 . 2009-10-17 17:12 2445312 ----a-w- c:\windows\Internet Logs\xDB62.tmp 2009-10-17 14:38 . 2009-10-17 14:39 2446336 ----a-w- c:\windows\Internet Logs\xDB61.tmp 2009-10-17 12:05 . 2009-01-26 23:57 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-10-17 12:01 . 2009-01-26 23:56 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-10-15 14:43 . 2009-10-15 14:43 2440704 ----a-w- c:\windows\Internet Logs\xDB60.tmp 2009-10-13 16:20 . 2009-10-13 16:26 2435072 ----a-w- c:\windows\Internet Logs\xDB5F.tmp 2009-10-13 16:20 . 2009-10-13 16:26 37376 ----a-w- c:\windows\Internet Logs\xDB5E.tmp 2009-10-12 14:16 . 2009-10-12 14:16 2434560 ----a-w- c:\windows\Internet Logs\xDB5D.tmp 2009-10-12 14:16 . 2009-10-12 14:16 122368 ----a-w- c:\windows\Internet Logs\xDB5C.tmp 2009-10-10 00:20 . 2009-10-10 00:19 -------- d-----w- c:\programme\VirtualFem 2009-10-10 00:20 . 2009-10-10 00:20 11502 ----a-r- c:\dokumente und einstellungen\kp\Anwendungsdaten\Microsoft\Installer\{BAE4D301-FE3F-4B41-813C-81165BD1FB30}\_3cec1c82.exe 2009-10-10 00:20 . 2009-10-10 00:20 11502 ----a-r- c:\dokumente und einstellungen\kp\Anwendungsdaten\Microsoft\Installer\{BAE4D301-FE3F-4B41-813C-81165BD1FB30}\_165d6e64.exe 2009-10-08 15:20 . 2009-10-08 15:20 729088 ----a-w- c:\windows\iun6002.exe 2009-10-08 15:17 . 2009-08-20 15:27 -------- d-----w- c:\dokumente und einstellungen\kp\Anwendungsdaten\Mumble 2009-10-06 14:25 . 2009-10-06 14:25 2426368 ----a-w- c:\windows\Internet Logs\xDB5B.tmp 2009-10-06 14:25 . 2009-10-06 14:25 17920 ----a-w- c:\windows\Internet Logs\xDB5A.tmp 2009-10-05 12:02 . 2009-10-05 12:03 2425856 ----a-w- c:\windows\Internet Logs\xDB59.tmp 2009-10-05 12:02 . 2009-10-05 12:03 15872 ----a-w- c:\windows\Internet Logs\xDB58.tmp 2009-10-04 10:58 . 2009-10-04 11:26 2425344 ----a-w- c:\windows\Internet Logs\xDB57.tmp 2009-10-04 10:58 . 2009-10-04 11:26 17408 ----a-w- c:\windows\Internet Logs\xDB56.tmp 2009-10-03 10:45 . 2009-10-03 10:46 2424832 ----a-w- c:\windows\Internet Logs\xDB55.tmp 2009-10-03 10:45 . 2009-10-03 10:46 15872 ----a-w- c:\windows\Internet Logs\xDB54.tmp 2009-10-02 16:07 . 2009-10-02 16:11 2424320 ----a-w- c:\windows\Internet Logs\xDB53.tmp 2009-10-02 16:07 . 2009-10-02 16:11 19456 ----a-w- c:\windows\Internet Logs\xDB52.tmp 2009-10-02 12:17 . 2009-10-02 12:18 2423296 ----a-w- c:\windows\Internet Logs\xDB51.tmp 2009-10-02 12:17 . 2009-10-02 12:18 17920 ----a-w- c:\windows\Internet Logs\xDB50.tmp 2009-10-01 16:40 . 2009-10-01 16:41 31232 ----a-w- c:\windows\Internet Logs\xDB4E.tmp 2009-10-01 16:40 . 2009-10-01 16:41 2422784 ----a-w- c:\windows\Internet Logs\xDB4F.tmp 2009-09-30 12:20 . 2009-09-30 12:21 18432 ----a-w- c:\windows\Internet Logs\xDB4C.tmp 2009-09-30 12:20 . 2009-09-30 12:21 2418688 ----a-w- c:\windows\Internet Logs\xDB4D.tmp 2009-09-29 14:21 . 2009-09-29 14:21 2418176 ----a-w- c:\windows\Internet Logs\xDB4B.tmp 2009-09-29 14:21 . 2009-09-29 14:21 17408 ----a-w- c:\windows\Internet Logs\xDB4A.tmp 2009-09-28 14:04 . 2009-09-28 14:05 2417664 ----a-w- c:\windows\Internet Logs\xDB49.tmp 2009-09-28 14:04 . 2009-09-28 14:05 15872 ----a-w- c:\windows\Internet Logs\xDB48.tmp 2009-09-27 15:04 . 2009-09-27 15:06 2417152 ----a-w- c:\windows\Internet Logs\xDB47.tmp 2009-09-27 15:04 . 2009-09-27 15:06 18944 ----a-w- c:\windows\Internet Logs\xDB46.tmp 2009-09-27 06:21 . 2009-09-27 06:21 2416640 ----a-w- c:\windows\Internet Logs\xDB45.tmp 2009-09-27 06:21 . 2009-09-27 06:21 15872 ----a-w- c:\windows\Internet Logs\xDB44.tmp 2009-09-26 02:40 . 2009-09-26 11:04 2416128 ----a-w- c:\windows\Internet Logs\xDB43.tmp 2009-09-26 02:40 . 2009-09-26 11:04 17408 ----a-w- c:\windows\Internet Logs\xDB42.tmp 2009-09-25 17:16 . 2009-09-25 17:16 2415616 ----a-w- c:\windows\Internet Logs\xDB41.tmp 2009-09-25 17:16 . 2009-09-25 17:16 19968 ----a-w- c:\windows\Internet Logs\xDB40.tmp 2009-09-25 12:56 . 2009-09-25 12:57 2415104 ----a-w- c:\windows\Internet Logs\xDB3F.tmp 2009-09-25 12:56 . 2009-09-25 12:57 101888 ----a-w- c:\windows\Internet Logs\xDB3E.tmp 2009-09-23 17:29 . 2009-09-23 17:31 2410496 ----a-w- c:\windows\Internet Logs\xDB3D.tmp 2009-09-23 17:29 . 2009-09-23 17:31 20992 ----a-w- c:\windows\Internet Logs\xDB3C.tmp 2009-09-23 17:11 . 2009-09-23 17:11 19968 ----a-w- c:\windows\Internet Logs\xDB3A.tmp 2009-09-23 17:11 . 2009-09-23 17:11 2409984 ----a-w- c:\windows\Internet Logs\xDB3B.tmp 2009-09-23 14:14 . 2009-09-23 14:15 2409472 ----a-w- c:\windows\Internet Logs\xDB39.tmp 2009-09-23 14:14 . 2009-09-23 14:15 18432 ----a-w- c:\windows\Internet Logs\xDB38.tmp 2009-09-22 19:37 . 2009-09-22 19:37 2408960 ----a-w- c:\windows\Internet Logs\xDB37.tmp 2009-09-22 19:37 . 2009-09-22 19:37 15872 ----a-w- c:\windows\Internet Logs\xDB36.tmp 2009-09-22 17:54 . 2009-05-28 18:51 1 ----a-w- c:\dokumente und einstellungen\kp\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-09-22 17:50 . 2009-09-22 17:56 2408448 ----a-w- c:\windows\Internet Logs\xDB35.tmp 2009-09-22 17:50 . 2009-09-22 17:56 20992 ----a-w- c:\windows\Internet Logs\xDB34.tmp 2009-09-22 14:29 . 2009-09-22 14:29 2407936 ----a-w- c:\windows\Internet Logs\xDB33.tmp 2009-09-22 14:29 . 2009-09-22 14:29 20992 ----a-w- c:\windows\Internet Logs\xDB32.tmp 2009-09-21 14:16 . 2009-09-21 14:17 2407424 ----a-w- c:\windows\Internet Logs\xDB31.tmp 2009-09-21 14:16 . 2009-09-21 14:17 36352 ----a-w- c:\windows\Internet Logs\xDB30.tmp 2009-09-20 09:30 . 2009-09-20 09:34 2406400 ----a-w- c:\windows\Internet Logs\xDB2F.tmp 2009-09-20 09:30 . 2009-09-20 09:34 21504 ----a-w- c:\windows\Internet Logs\xDB2E.tmp 2009-09-19 17:25 . 2009-09-19 17:26 16384 ----a-w- c:\windows\Internet Logs\xDB2C.tmp 2009-09-19 17:25 . 2009-09-19 17:26 2404864 ----a-w- c:\windows\Internet Logs\xDB2D.tmp . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\QIP Infium\\infium.exe"= "c:\\Programme\\Steam\\steamapps\\deloooninet\\counter-strike\\hl.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Steam\\steamapps\\common\\torchlight\\Torchlight.exe"= R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.01.2009 18:07 717296] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.08.2009 12:19 108289] R2 drhard;drhard;c:\windows\system32\drivers\drhard.sys [10.08.2009 16:33 23600] R3 kbdcap;kbdcap;c:\windows\system32\drivers\KbdCap.sys [09.06.2009 18:09 109440] S1 ntiomin;ntiomin; [x] S3 ByakkoDriver;ByakkoDriver;\??\c:\dokume~1\kp\LOKALE~1\Temp\7413203.09-02-2009 --> c:\dokume~1\kp\LOKALE~1\Temp\7413203.09-02-2009 [?] S3 KIKIDRIVER;KIKIDRIVER;\??\c:\dokumente und einstellungen\kp\Desktop\kiks_UCE\kiks UCE\kiki.sys --> c:\dokumente und einstellungen\kp\Desktop\kiks_UCE\kiks UCE\kiki.sys [?] S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 22:10 32512] S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?] S3 NTProcDrv;Process creation detector for NT.;\??\c:\dokumente und einstellungen\kp\Desktop\CabalBotPH1.12\CabalBotPH1.12\NtProcDrv.sys --> c:\dokumente und einstellungen\kp\Desktop\CabalBotPH1.12\CabalBotPH1.12\NtProcDrv.sys [?] S3 Revolution1;Revolution1;\??\c:\dokumente und einstellungen\kp\Desktop\Neuer Ordner\SHAK3.sys --> c:\dokumente und einstellungen\kp\Desktop\Neuer Ordner\SHAK3.sys [?] S3 SysCom1;SysCom1;\??\c:\dokumente und einstellungen\kp\Desktop\Ghost Killer\Ghost Killer\SoRa.sys --> c:\dokumente und einstellungen\kp\Desktop\Ghost Killer\Ghost Killer\SoRa.sys [?] S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 17:44 9696] S3 XDva279;XDva279;\??\c:\windows\system32\XDva279.sys --> c:\windows\system32\XDva279.sys [?] . . ------- Zusätzlicher Suchlauf ------- . uInternet Connection Wizard,ShellNext = iexplore TCP: {69EEF91D-7A92-4854-9BB3-93C5F1450876} = 192.168.0.1 FF - ProfilePath - c:\dokumente und einstellungen\kp\Anwendungsdaten\Mozilla\Firefox\Profiles\h60132c2.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - prefs.js: browser.search.selectedEngine - Live Search FF - prefs.js: browser.startup.homepage - google.de FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-Adiksa Cabal Online - c:\programme\cabal priv\CABAL Online (Europe)\Uninstal.exe AddRemove-CABAL Online(Europe)_is1 - c:\programme\CABAL Online (Europe)\unins000.exe AddRemove-Fiesta Online(EU_German) - c:\programme\Fiesta Online(EU_German)\uninst.exe AddRemove-PAnimals Server - c:\programme\KalOnlinePrivate\Uninstal.exe AddRemove-Steam App 10 - c:\programme\Steam\steam.exe steam://uninstall/10 AddRemove-Steam App 41510 - c:\programme\Steam\steam.exe steam://uninstall/41510 AddRemove-{d08d9f98-1c78-4704-87e6-368b0023d831} - c:\programme\relevantknowledge\rlvknlg.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-11-27 19:03 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8236F1F8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf857afc3 \Driver\ACPI -> ACPI.sys @ 0xf83d4cb8 \Driver\atapi -> 0x823de1f8 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876 ParseProcedure -> ntoskrnl.exe @ 0x8057016c \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876 ParseProcedure -> ntoskrnl.exe @ 0x8057016c Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ByakkoDriver] "ImagePath"="\??\c:\dokume~1\kp\LOKALE~1\Temp\7413203.09-02-2009" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1275210071-2025429265-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8DE984ED-2ACA-1485-5E37-EA423E3DA1F4}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "nanajlegbchmbdanekkachenajbp"=hex:6a,61,62,69,68,68,6c,67,67,65,6f,70,63,6e, 6f,6a,6e,70,62,64,00,00 "madapkfgpfoikpkjmceokbhfan"=hex:6a,61,62,69,68,68,6c,67,67,65,6f,70,63,6e,6f, 6a,6e,70,62,64,00,97 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(868) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programme\a-squared Free\a2service.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\PnkBstrA.exe c:\programme\Analog Devices\SoundMAX\SMAgent.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe c:\windows\System32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-11-27 19:12 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-11-27 18:12 Vor Suchlauf: 7 Verzeichnis(se), 18.031.521.792 Bytes frei Nach Suchlauf: 8 Verzeichnis(se), 17.948.471.296 Bytes frei - - End Of File - - 7E85FD2BD5B91EC12D74598A429E2CF3 + Multi-Zitat Zitieren