Keylogger auf dem Pc?

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von steRni, 26. November 2009 .

Schlagworte:
  1. 26. November 2009
    Nabend,
    als ich vorhin von der Arbeit nach hause kam und mich mit meinem
    WoW Account einloggen wollte sagte er mir Passwort falsch.
    Joar erstmal E-Mails gecheckt und gesehen das 3 Mails von Blizzard da waren
    1.das mein PW geändert wurder, 2. das Pw zurück gesetzt wurde, 3. das mein
    Account auf grund von Fremdzugriff für 24std. gesperrt wurde. So aber E-Mail
    Pw wurde nicht geändert obwohl es das selbe war wie vom WoW Account und
    mann sich ja neuerdings mit der E-Mail einloggen muss.

    Naja AntiVir hat nichts gefunden Hijackthis log ist angehängt wäre nett
    wenn mal jemand drüber schaut

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:37:26, on 26.11.2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Programme\Java\jre6\bin\jucheck.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{69EEF91D-7A92-4854-9BB3-93C5F1450876}: NameServer = 192.168.0.1
    O20 - Winlogon Notify: RelevantKnowledge - C:\programme\relevantknowledge\rlls.dll (file missing)
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    
    --
    End of file - 4712 bytes
    
     
  2. 26. November 2009
    AW: Keylogger auf dem Pc?

    O20 - Winlogon Notify: RelevantKnowledge - C:\programme\relevantknowledge\rlls.dll (file missing)

    Art


    Schädlich (2.24 / 5.00)


    den würd ich mal fixen
    bei dem rest, kp sry
     
  3. 26. November 2009
    AW: Keylogger auf dem Pc?

    So hab 2 Sachen gefixt hier das aktuelle Log File
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:04:53, on 26.11.2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{69EEF91D-7A92-4854-9BB3-93C5F1450876}: NameServer = 192.168.0.1
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    
    --
    End of file - 4642 bytes
    
     
  4. 26. November 2009
    AW: Keylogger auf dem Pc?

    Malwarebytes : Malwarebytes Anti-Malware Pro starten

    Anleitung
    Anleitung: Malwarebytes Anti-Malware - Trojaner-Board

    Den Log dann bitte posten.

    Anschliessend Combofix starten und den Log auch posten.

    Combofix:
    Combofix
     
  5. 27. November 2009
    AW: Keylogger auf dem Pc?

    das Explorer.EXE macht mir sorgen..
    wird das schon so angegeben?.. versuche mal das zu schließen.. wenn danach die startleiste verschwinden sollte, einfach unter neuer task "explorer.exe" wieder eingeben...
    ist mir aber neu, dass das EXE dabei groß geschrieben wird.
     
  6. 27. November 2009
    AW: Keylogger auf dem Pc?

    So Malwarebyte und ComboFix ist durch gelaufen.
    Ich glaube es ist ein Keylogger, war vorhin in WoW on mit neuem Pw usw.
    und hab die ganze zeit Server verbindung wurde getrennt bekommen, dass kommt
    eigentlich wenn jemand anders sich einlogt.
    Wegen der explorer.exe der ist im Taskmanager klein geschrieben und Startleiste verschwindet beim beenden

    Malwarebyte log:
    Spoiler
    Malwarebytes' Anti-Malware 1.41
    Datenbank Version: 3242
    Windows 5.1.2600 Service Pack 2

    27.11.2009 17:34:36
    mbam-log-2009-11-27 (17-34-33).txt

    Scan-Methode: Vollständiger Scan (C:\|D:\|)
    Durchsuchte Objekte: 204579
    Laufzeit: 1 hour(s), 45 minute(s), 14 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 1
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 1
    Infizierte Dateien: 0

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> No action taken.

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

    Infizierte Verzeichnisse:
    C:\Programme\RelevantKnowledge (Spyware.MarketScore) -> No action taken.

    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

    ComboFix log:
    Spoiler
    ComboFix 09-11-26.02 - kp 27.11.2009 18:51.1.1 - x86
    Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.221 [GMT 1:00]
    ausgeführt von:: c:\dokumente und einstellungen\kp\Desktop\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Pro Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    .

    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\programme\RelevantKnowledge

    .
    ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_MSDIRECTX
    -------\Legacy_OREANS32
    -------\Service_oreans32


    ((((((((((((((((((((((( Dateien erstellt von 2009-10-27 bis 2009-11-27 ))))))))))))))))))))))))))))))
    .

    2009-11-27 12:55 . 2009-11-27 12:55 -------- d-----w- c:\dokumente und einstellungen\kp\Anwendungsdaten\Malwarebytes
    2009-11-27 12:55 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-11-27 12:55 . 2009-11-27 12:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
    2009-11-27 12:55 . 2009-11-27 12:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2009-11-27 12:55 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-11-26 15:27 . 2009-11-26 18:07 79488 ----a-w- c:\dokumente und einstellungen\kp\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
    2009-11-07 11:54 . 2009-11-07 11:55 -------- d-----w- c:\windows\system32\NtmsData
    2009-11-06 18:52 . 2009-11-06 18:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
    2009-10-30 14:24 . 2009-10-30 14:24 -------- d-----w- c:\dokumente und einstellungen\kp\Anwendungsdaten\runic games

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-11-27 17:42 . 2009-01-27 12:39 4212 ---h--w- c:\windows\system32\zllictbl.dat
    2009-11-26 19:33 . 2009-01-27 02:13 -------- d-----w- c:\programme\Warcraft III
    2009-11-25 18:17 . 2009-01-27 01:38 -------- d-----w- c:\programme\World of Warcraft
    2009-11-24 15:21 . 2009-11-24 15:21 2522112 ----a-w- c:\windows\Internet Logs\xDB7B.tmp
    2009-11-22 10:25 . 2009-11-22 10:26 2518016 ----a-w- c:\windows\Internet Logs\xDB79.tmp
    2009-11-22 10:25 . 2009-11-22 10:25 2518016 ----a-w- c:\windows\Internet Logs\xDB78.tmp
    2009-11-20 17:34 . 2009-01-27 16:20 -------- d-----w- c:\dokumente und einstellungen\kp\Anwendungsdaten\teamspeak2
    2009-11-19 17:50 . 2009-11-19 17:50 5324800 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2009_11_18_19_03_51_full.dmp.zip
    2009-11-19 16:29 . 2009-11-19 17:44 78336 ----a-w- c:\windows\Internet Logs\xDB77.tmp
    2009-11-18 19:04 . 2009-11-18 19:06 47616 ----a-w- c:\windows\Internet Logs\xDB76.tmp
    2009-11-18 18:04 . 2009-11-18 18:04 2506240 ----a-w- c:\windows\Internet Logs\xDB7A.tmp
    2009-11-18 17:31 . 2009-11-18 17:31 2505728 ----a-w- c:\windows\Internet Logs\xDB75.tmp
    2009-11-18 15:40 . 2009-11-18 15:40 2505216 ----a-w- c:\windows\Internet Logs\xDB74.tmp
    2009-11-15 17:24 . 2009-11-16 18:35 18944 ----a-w- c:\windows\Internet Logs\xDB73.tmp
    2009-11-15 17:22 . 2009-11-15 17:23 132096 ----a-w- c:\windows\Internet Logs\xDB72.tmp
    2009-11-12 17:09 . 2009-11-12 17:10 2493952 ----a-w- c:\windows\Internet Logs\xDB71.tmp
    2009-11-08 01:30 . 2009-11-08 01:34 58880 ----a-w- c:\windows\Internet Logs\xDB70.tmp
    2009-11-07 03:53 . 2009-11-07 03:53 2477568 ----a-w- c:\windows\Internet Logs\xDB6F.tmp
    2009-11-07 03:53 . 2009-11-07 03:53 14848 ----a-w- c:\windows\Internet Logs\xDB6E.tmp
    2009-11-07 03:53 . 2009-11-07 03:53 2477568 ----a-w- c:\windows\Internet Logs\xDB6D.tmp
    2009-11-07 03:53 . 2009-11-07 03:53 15360 ----a-w- c:\windows\Internet Logs\xDB6C.tmp
    2009-11-07 03:52 . 2009-11-07 03:52 2477568 ----a-w- c:\windows\Internet Logs\xDB6B.tmp
    2009-11-07 03:52 . 2009-11-07 03:52 38912 ----a-w- c:\windows\Internet Logs\xDB6A.tmp
    2009-11-06 22:30 . 2009-07-04 12:57 -------- d-----w- c:\programme\Diablo II
    2009-11-06 13:47 . 2009-11-06 13:50 2476032 ----a-w- c:\windows\Internet Logs\xDB69.tmp
    2009-11-06 13:47 . 2009-11-06 13:50 267776 ----a-w- c:\windows\Internet Logs\xDB68.tmp
    2009-10-30 21:47 . 2009-10-30 21:47 2467840 ----a-w- c:\windows\Internet Logs\xDB67.tmp
    2009-10-30 14:29 . 2009-01-27 02:57 -------- d-----w- c:\programme\Steam
    2009-10-28 15:16 . 2009-10-28 15:16 2465280 ----a-w- c:\windows\Internet Logs\xDB66.tmp
    2009-10-27 18:47 . 2009-10-27 18:47 152576 ----a-w- c:\dokumente und einstellungen\kp\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll
    2009-10-27 16:38 . 2009-03-17 14:10 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
    2009-10-27 15:01 . 2001-08-18 12:00 80662 ----a-w- c:\windows\system32\perfc007.dat
    2009-10-27 15:01 . 2001-08-18 12:00 449248 ----a-w- c:\windows\system32\perfh007.dat
    2009-10-24 11:13 . 2009-10-24 15:22 2457600 ----a-w- c:\windows\Internet Logs\xDB65.tmp
    2009-10-24 11:13 . 2009-10-24 15:22 111104 ----a-w- c:\windows\Internet Logs\xDB64.tmp
    2009-10-22 14:31 . 2009-10-17 12:05 -------- d-----w- c:\programme\KalOnlineEng
    2009-10-19 13:15 . 2009-10-19 13:15 119808 ----a-w- c:\windows\Internet Logs\xDB63.tmp
    2009-10-17 17:11 . 2009-10-17 17:12 2445312 ----a-w- c:\windows\Internet Logs\xDB62.tmp
    2009-10-17 14:38 . 2009-10-17 14:39 2446336 ----a-w- c:\windows\Internet Logs\xDB61.tmp
    2009-10-17 12:05 . 2009-01-26 23:57 -------- d--h--w- c:\programme\InstallShield Installation Information
    2009-10-17 12:01 . 2009-01-26 23:56 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
    2009-10-15 14:43 . 2009-10-15 14:43 2440704 ----a-w- c:\windows\Internet Logs\xDB60.tmp
    2009-10-13 16:20 . 2009-10-13 16:26 2435072 ----a-w- c:\windows\Internet Logs\xDB5F.tmp
    2009-10-13 16:20 . 2009-10-13 16:26 37376 ----a-w- c:\windows\Internet Logs\xDB5E.tmp
    2009-10-12 14:16 . 2009-10-12 14:16 2434560 ----a-w- c:\windows\Internet Logs\xDB5D.tmp
    2009-10-12 14:16 . 2009-10-12 14:16 122368 ----a-w- c:\windows\Internet Logs\xDB5C.tmp
    2009-10-10 00:20 . 2009-10-10 00:19 -------- d-----w- c:\programme\VirtualFem
    2009-10-10 00:20 . 2009-10-10 00:20 11502 ----a-r- c:\dokumente und einstellungen\kp\Anwendungsdaten\Microsoft\Installer\{BAE4D301-FE3F-4B41-813C-81165BD1FB30}\_3cec1c82.exe
    2009-10-10 00:20 . 2009-10-10 00:20 11502 ----a-r- c:\dokumente und einstellungen\kp\Anwendungsdaten\Microsoft\Installer\{BAE4D301-FE3F-4B41-813C-81165BD1FB30}\_165d6e64.exe
    2009-10-08 15:20 . 2009-10-08 15:20 729088 ----a-w- c:\windows\iun6002.exe
    2009-10-08 15:17 . 2009-08-20 15:27 -------- d-----w- c:\dokumente und einstellungen\kp\Anwendungsdaten\Mumble
    2009-10-06 14:25 . 2009-10-06 14:25 2426368 ----a-w- c:\windows\Internet Logs\xDB5B.tmp
    2009-10-06 14:25 . 2009-10-06 14:25 17920 ----a-w- c:\windows\Internet Logs\xDB5A.tmp
    2009-10-05 12:02 . 2009-10-05 12:03 2425856 ----a-w- c:\windows\Internet Logs\xDB59.tmp
    2009-10-05 12:02 . 2009-10-05 12:03 15872 ----a-w- c:\windows\Internet Logs\xDB58.tmp
    2009-10-04 10:58 . 2009-10-04 11:26 2425344 ----a-w- c:\windows\Internet Logs\xDB57.tmp
    2009-10-04 10:58 . 2009-10-04 11:26 17408 ----a-w- c:\windows\Internet Logs\xDB56.tmp
    2009-10-03 10:45 . 2009-10-03 10:46 2424832 ----a-w- c:\windows\Internet Logs\xDB55.tmp
    2009-10-03 10:45 . 2009-10-03 10:46 15872 ----a-w- c:\windows\Internet Logs\xDB54.tmp
    2009-10-02 16:07 . 2009-10-02 16:11 2424320 ----a-w- c:\windows\Internet Logs\xDB53.tmp
    2009-10-02 16:07 . 2009-10-02 16:11 19456 ----a-w- c:\windows\Internet Logs\xDB52.tmp
    2009-10-02 12:17 . 2009-10-02 12:18 2423296 ----a-w- c:\windows\Internet Logs\xDB51.tmp
    2009-10-02 12:17 . 2009-10-02 12:18 17920 ----a-w- c:\windows\Internet Logs\xDB50.tmp
    2009-10-01 16:40 . 2009-10-01 16:41 31232 ----a-w- c:\windows\Internet Logs\xDB4E.tmp
    2009-10-01 16:40 . 2009-10-01 16:41 2422784 ----a-w- c:\windows\Internet Logs\xDB4F.tmp
    2009-09-30 12:20 . 2009-09-30 12:21 18432 ----a-w- c:\windows\Internet Logs\xDB4C.tmp
    2009-09-30 12:20 . 2009-09-30 12:21 2418688 ----a-w- c:\windows\Internet Logs\xDB4D.tmp
    2009-09-29 14:21 . 2009-09-29 14:21 2418176 ----a-w- c:\windows\Internet Logs\xDB4B.tmp
    2009-09-29 14:21 . 2009-09-29 14:21 17408 ----a-w- c:\windows\Internet Logs\xDB4A.tmp
    2009-09-28 14:04 . 2009-09-28 14:05 2417664 ----a-w- c:\windows\Internet Logs\xDB49.tmp
    2009-09-28 14:04 . 2009-09-28 14:05 15872 ----a-w- c:\windows\Internet Logs\xDB48.tmp
    2009-09-27 15:04 . 2009-09-27 15:06 2417152 ----a-w- c:\windows\Internet Logs\xDB47.tmp
    2009-09-27 15:04 . 2009-09-27 15:06 18944 ----a-w- c:\windows\Internet Logs\xDB46.tmp
    2009-09-27 06:21 . 2009-09-27 06:21 2416640 ----a-w- c:\windows\Internet Logs\xDB45.tmp
    2009-09-27 06:21 . 2009-09-27 06:21 15872 ----a-w- c:\windows\Internet Logs\xDB44.tmp
    2009-09-26 02:40 . 2009-09-26 11:04 2416128 ----a-w- c:\windows\Internet Logs\xDB43.tmp
    2009-09-26 02:40 . 2009-09-26 11:04 17408 ----a-w- c:\windows\Internet Logs\xDB42.tmp
    2009-09-25 17:16 . 2009-09-25 17:16 2415616 ----a-w- c:\windows\Internet Logs\xDB41.tmp
    2009-09-25 17:16 . 2009-09-25 17:16 19968 ----a-w- c:\windows\Internet Logs\xDB40.tmp
    2009-09-25 12:56 . 2009-09-25 12:57 2415104 ----a-w- c:\windows\Internet Logs\xDB3F.tmp
    2009-09-25 12:56 . 2009-09-25 12:57 101888 ----a-w- c:\windows\Internet Logs\xDB3E.tmp
    2009-09-23 17:29 . 2009-09-23 17:31 2410496 ----a-w- c:\windows\Internet Logs\xDB3D.tmp
    2009-09-23 17:29 . 2009-09-23 17:31 20992 ----a-w- c:\windows\Internet Logs\xDB3C.tmp
    2009-09-23 17:11 . 2009-09-23 17:11 19968 ----a-w- c:\windows\Internet Logs\xDB3A.tmp
    2009-09-23 17:11 . 2009-09-23 17:11 2409984 ----a-w- c:\windows\Internet Logs\xDB3B.tmp
    2009-09-23 14:14 . 2009-09-23 14:15 2409472 ----a-w- c:\windows\Internet Logs\xDB39.tmp
    2009-09-23 14:14 . 2009-09-23 14:15 18432 ----a-w- c:\windows\Internet Logs\xDB38.tmp
    2009-09-22 19:37 . 2009-09-22 19:37 2408960 ----a-w- c:\windows\Internet Logs\xDB37.tmp
    2009-09-22 19:37 . 2009-09-22 19:37 15872 ----a-w- c:\windows\Internet Logs\xDB36.tmp
    2009-09-22 17:54 . 2009-05-28 18:51 1 ----a-w- c:\dokumente und einstellungen\kp\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2009-09-22 17:50 . 2009-09-22 17:56 2408448 ----a-w- c:\windows\Internet Logs\xDB35.tmp
    2009-09-22 17:50 . 2009-09-22 17:56 20992 ----a-w- c:\windows\Internet Logs\xDB34.tmp
    2009-09-22 14:29 . 2009-09-22 14:29 2407936 ----a-w- c:\windows\Internet Logs\xDB33.tmp
    2009-09-22 14:29 . 2009-09-22 14:29 20992 ----a-w- c:\windows\Internet Logs\xDB32.tmp
    2009-09-21 14:16 . 2009-09-21 14:17 2407424 ----a-w- c:\windows\Internet Logs\xDB31.tmp
    2009-09-21 14:16 . 2009-09-21 14:17 36352 ----a-w- c:\windows\Internet Logs\xDB30.tmp
    2009-09-20 09:30 . 2009-09-20 09:34 2406400 ----a-w- c:\windows\Internet Logs\xDB2F.tmp
    2009-09-20 09:30 . 2009-09-20 09:34 21504 ----a-w- c:\windows\Internet Logs\xDB2E.tmp
    2009-09-19 17:25 . 2009-09-19 17:26 16384 ----a-w- c:\windows\Internet Logs\xDB2C.tmp
    2009-09-19 17:25 . 2009-09-19 17:26 2404864 ----a-w- c:\windows\Internet Logs\xDB2D.tmp
    .

    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
    "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
    "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
    path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk
    backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Programme\\QIP Infium\\infium.exe"=
    "c:\\Programme\\Steam\\steamapps\\deloooninet\\counter-strike\\hl.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Programme\\Steam\\steamapps\\common\\torchlight\\Torchlight.exe"=

    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.01.2009 18:07 717296]
    R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.08.2009 12:19 108289]
    R2 drhard;drhard;c:\windows\system32\drivers\drhard.sys [10.08.2009 16:33 23600]
    R3 kbdcap;kbdcap;c:\windows\system32\drivers\KbdCap.sys [09.06.2009 18:09 109440]
    S1 ntiomin;ntiomin; [x]
    S3 ByakkoDriver;ByakkoDriver;\??\c:\dokume~1\kp\LOKALE~1\Temp\7413203.09-02-2009 --> c:\dokume~1\kp\LOKALE~1\Temp\7413203.09-02-2009 [?]
    S3 KIKIDRIVER;KIKIDRIVER;\??\c:\dokumente und einstellungen\kp\Desktop\kiks_UCE\kiks UCE\kiki.sys --> c:\dokumente und einstellungen\kp\Desktop\kiks_UCE\kiks UCE\kiki.sys [?]
    S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 22:10 32512]
    S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
    S3 NTProcDrv;Process creation detector for NT.;\??\c:\dokumente und einstellungen\kp\Desktop\CabalBotPH1.12\CabalBotPH1.12\NtProcDrv.sys --> c:\dokumente und einstellungen\kp\Desktop\CabalBotPH1.12\CabalBotPH1.12\NtProcDrv.sys [?]
    S3 Revolution1;Revolution1;\??\c:\dokumente und einstellungen\kp\Desktop\Neuer Ordner\SHAK3.sys --> c:\dokumente und einstellungen\kp\Desktop\Neuer Ordner\SHAK3.sys [?]
    S3 SysCom1;SysCom1;\??\c:\dokumente und einstellungen\kp\Desktop\Ghost Killer\Ghost Killer\SoRa.sys --> c:\dokumente und einstellungen\kp\Desktop\Ghost Killer\Ghost Killer\SoRa.sys [?]
    S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 17:44 9696]
    S3 XDva279;XDva279;\??\c:\windows\system32\XDva279.sys --> c:\windows\system32\XDva279.sys [?]
    .
    .
    ------- Zusätzlicher Suchlauf -------
    .
    uInternet Connection Wizard,ShellNext = iexplore
    TCP: {69EEF91D-7A92-4854-9BB3-93C5F1450876} = 192.168.0.1
    FF - ProfilePath - c:\dokumente und einstellungen\kp\Anwendungsdaten\Mozilla\Firefox\Profiles\h60132c2.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
    FF - prefs.js: browser.search.selectedEngine - Live Search
    FF - prefs.js: browser.startup.homepage - google.de
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
    FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll
    .
    - - - - Entfernte verwaiste Registrierungseinträge - - - -

    AddRemove-Adiksa Cabal Online - c:\programme\cabal priv\CABAL Online (Europe)\Uninstal.exe
    AddRemove-CABAL Online(Europe)_is1 - c:\programme\CABAL Online (Europe)\unins000.exe
    AddRemove-Fiesta Online(EU_German) - c:\programme\Fiesta Online(EU_German)\uninst.exe
    AddRemove-PAnimals Server - c:\programme\KalOnlinePrivate\Uninstal.exe
    AddRemove-Steam App 10 - c:\programme\Steam\steam.exe steam://uninstall/10
    AddRemove-Steam App 41510 - c:\programme\Steam\steam.exe steam://uninstall/41510
    AddRemove-{d08d9f98-1c78-4704-87e6-368b0023d831} - c:\programme\relevantknowledge\rlvknlg.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
    Rootkit scan 2009-11-27 19:03
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostarteinträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8236F1F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf857afc3
    \Driver\ACPI -> ACPI.sys @ 0xf83d4cb8
    \Driver\atapi -> 0x823de1f8
    IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
    ParseProcedure -> ntoskrnl.exe @ 0x8057016c
    \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
    ParseProcedure -> ntoskrnl.exe @ 0x8057016c
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ByakkoDriver]
    "ImagePath"="\??\c:\dokume~1\kp\LOKALE~1\Temp\7413203.09-02-2009"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"
    .
    --------------------- Gesperrte Registrierungsschluessel ---------------------

    [HKEY_USERS\S-1-5-21-1275210071-2025429265-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8DE984ED-2ACA-1485-5E37-EA423E3DA1F4}*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)
    "nanajlegbchmbdanekkachenajbp"=hex:6a,61,62,69,68,68,6c,67,67,65,6f,70,63,6e,
    6f,6a,6e,70,62,64,00,00
    "madapkfgpfoikpkjmceokbhfan"=hex:6a,61,62,69,68,68,6c,67,67,65,6f,70,63,6e,6f,
    6a,6e,70,62,64,00,97
    .
    --------------------- Durch laufende Prozesse gestartete DLLs ---------------------

    - - - - - - - > 'winlogon.exe'(868)
    c:\windows\system32\Ati2evxx.dll
    .
    ------------------------ Weitere laufende Prozesse ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\programme\a-squared Free\a2service.exe
    c:\programme\Avira\AntiVir Desktop\avguard.exe
    c:\programme\Java\jre6\bin\jqs.exe
    c:\windows\system32\PnkBstrA.exe
    c:\programme\Analog Devices\SoundMAX\SMAgent.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\System32\wbem\wmiapsrv.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2009-11-27 19:12 - PC wurde neu gestartet
    ComboFix-quarantined-files.txt 2009-11-27 18:12

    Vor Suchlauf: 7 Verzeichnis(se), 18.031.521.792 Bytes frei
    Nach Suchlauf: 8 Verzeichnis(se), 17.948.471.296 Bytes frei

    - - End Of File - - 7E85FD2BD5B91EC12D74598A429E2CF3
     
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.