Archiv verlassen und diese Seite im Standarddesign anzeigen : sweetimsetup.exe
Mac_Hack
11.08.2010, 23:51
Hallo zusammen,
Seit 2 Tagen bekomme ich immer wieder so einen dämliches Affen Icon mit dem Namen sweetimsetup.exe auf dem Desktop zu Gesicht.
Und heute kam wieder das gleiche, nur diesmal mit "Continue SweetIM Installation.exe" im Anschlag.
Ich wüsste nicht wo ich mir Schadsoftware einfangen hätte können, aber irgendwie habe ich es geschafft.
Der Anubis Scan hat mir schon den Filename: test374785.exe von sweetimesetup.exe ausgespuckt, also bin ich zu dem Entschluss gekommen, das wieder Kinderfinger im Spiel sind. :D
Könnt Ihr euch mal die Teile genauer unter die Lupe nehmen und mir sagen was es damit auf sich hat.
Analyse:
File Info
Report date: 2010-08-12 00:35:31 (GMT 1)
File name: sweetimsetup-exe
File size: 351544 bytes
MD5 Hash: a698189d5c670069a713a95d81d29b91
SHA1 Hash: e647501cdaa9fc44ffbc2bf49a375d1deb24f3ff
Detection rate: 1 on 16 (6%)
Status: INFECTED
Detections
a-squared -
Avast -
AVG -
Avira AntiVir -
BitDefender -
ClamAV -
Comodo -
Dr.Web -
F-PROT6 -
Ikarus T3 -
Kaspersky -
NOD32 -
Panda -
TrendMicro -
VBA32 - Virus.Win32.Virut.X6
VirusBuster -
Scan report generated by
NoVirusThanks.org (http://novirusthanks.org/)
Vorsicht, die Inhalte der .rar Datein sind Infected und sollten nur von Erfahrenen Usern Analysiert werden. Ich nehme keine Verantwortung für Infektionen! ;)
RapidShare: 1-CLICK Web hosting - Easy Filehosting (http://rapidshare.com/files/412415260/sweet.rar)
Danke für eure Hilfe.
Und wieder einer ohne HiJackThislog.. Weiß ja nicht was daran so schwer ist, die Stickys in jedem Bereich zu lesen. ;)
// Edit:
Mal abgesehen davon ist SweetIM doch 'ne Toolbar für den Internet Explorer? Und wer bewusst fremde Addons in den Browser bindet, ist selbst schuld. Oder handelt es sich garnicht um SweetIM?
Mac_Hack
11.08.2010, 23:57
Da ist er doch! :rolleyes:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:55:53, on 12.08.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
D:\Windows\system32\taskhost.exe
D:\Windows\system32\Dwm.exe
D:\Windows\Explorer.EXE
D:\Windows\System32\rundll32.exe
D:\Program Files\Common Files\Java\Java Update\jusched.exe
D:\Program Files\DAEMON Tools Lite\daemon.exe
D:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe
D:\Windows\system32\taskhost.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Windows\system32\SearchFilterHost.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing (http://go.microsoft.com/fwlink/?LinkId=54896)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing (http://go.microsoft.com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing (http://go.microsoft.com/fwlink/?LinkId=54896)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "D:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.e xe"
O4 - HKLM\..\Run: [SwitchBoard] D:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "D:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.ex e" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "D:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [CleanSetup] cmd /C rmdir /S /Q "D:\Users\Brez\AppData\Local\Temp\nro.tmp\"
O4 - HKCU\..\Run: [ICQ] "D:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] D:\Windows\system32\Macromed\Flash\FlashUtil10h_Pl ugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - D:\Program Files\ICQ7.0\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - D:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - D:\Windows\system32\nvvsvc.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - D:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - D:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
--
End of file - 4739 bytes
Bitte mit Malwarebytes Anti-Malware Download - Malwarebytes Anti-Malware 1.46 (http://filepony.de/download-malwarebytes_anti_malware/) einen Scan machen und den Log hier posten. Davor bitte die Software updaten.
Mac_Hack
12.08.2010, 00:03
Danke für deine Information von SweetIM. Jedoch höre ich das zum ersten mal und noch dazu nutze ich keinen IE sondern FF!
Du findest in meinem ersten Startpost eine Analyse NoVirusThanks und der zeigt ebenfalls Infected an!
Der Anubis Scan hat mir auch IPs aufgelistet, leider kenne ich mich aber damit zu wenig aus, damit ich aus der Analyse schlau werde.
Kann viel als Virus angezeigt werden, die Frage ist, ob er auch bösartig ist. ;) Deswegen bitte meinen letzten Post ausführen und Log posten.
Mac_Hack
12.08.2010, 00:10
Danke Apex, der Scan lauft bereits, log folgt.
Mal so zwischen durch gefragt... Wie kann das sein wen ich die .exe gestern in die Tonne werfe und gelöscht habe, dass heute die gleiche nur zwei mal da ist?
Ich habe schon viel gesehen, aber bei dem steht mir selber das frage Zeichen auf dem Kopf! :D
LOG DATEI
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4420
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
12.08.2010 01:11:04
mbam-log-2010-08-12 (01-11-04).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128014
Laufzeit: 5 Minute(n), 4 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Ganz einfach, indem irgendeine andere Datei infiziert ist bzw infiziert wurde und von dort aus immer wieder neue Dateien erstellt. Kannst auch mal im TEMP Ordner von Windows nachsehen, falls du Windows hast. C:\Windows\Temp - Einfach mal alles löschen! Kannste bedenkenlos machen.
Jetzt bitte mal ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) runterladen, auf dem Desktop speichern und "confi.exe" nennen (Falls dein Antivirus anspringt ist das ganz normal.) Dann ausführen. Kann sein, dass der Computer neustartet also alles davor schön brav abspeichern und beenden.
Mac_Hack
12.08.2010, 00:40
ComboFix Log
ComboFix 10-08-11.04 - Brez 12.08.2010 1:25.1.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1252.43.1031.18.2046.1366 [GMT 2:00]
ausgeführt von:: d:\users\Brez\Desktop\confi.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-11 bis 2010-08-11 ))))))))))))))))))))))))))))))
.
2010-08-11 23:32 . 2010-08-11 23:32 -------- d-----w- d:\users\Brez\AppData\Local\temp
2010-08-11 23:32 . 2010-08-11 23:32 -------- d-----w- d:\users\Default\AppData\Local\temp
2010-08-11 23:05 . 2010-08-11 23:05 -------- d-----w- d:\users\Brez\AppData\Roaming\Malwarebytes
2010-08-11 23:05 . 2010-04-29 10:19 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2010-08-11 23:05 . 2010-08-11 23:05 -------- d-----w- d:\program files\Malwarebytes' Anti-Malware
2010-08-11 23:05 . 2010-08-11 23:05 -------- d-----w- d:\programdata\Malwarebytes
2010-08-11 23:05 . 2010-04-29 10:19 20952 ----a-w- d:\windows\system32\drivers\mbam.sys
2010-08-11 22:55 . 2010-08-11 22:55 -------- d-----w- d:\program files\Trend Micro
2010-08-11 10:41 . 2010-08-11 10:41 -------- d-----w- d:\programdata\LightScribe
2010-08-11 10:40 . 2010-08-11 11:02 -------- d-----w- d:\users\Brez\AppData\Roaming\Nero
2010-08-10 07:47 . 2010-08-10 08:03 -------- d-----w- d:\program files\Common Files\Nero
2010-08-10 07:47 . 2010-08-10 07:51 -------- d-----w- d:\programdata\Nero
2010-08-10 07:46 . 2010-08-10 07:46 -------- d-----w- d:\program files\Common Files\LightScribe
2010-08-08 22:06 . 2010-08-08 22:06 -------- d-----w- d:\users\Brez\AppData\Local\Diagnostics
2010-07-23 17:53 . 2010-08-04 12:32 -------- d-----w- d:\users\Brez\AppData\Roaming\dvdcss
2010-07-23 10:51 . 2010-07-23 11:28 -------- d-----w- d:\users\Brez\AppData\Local\SecondLife
2010-07-23 10:51 . 2010-07-23 10:52 -------- d-----w- d:\users\Brez\AppData\Roaming\SecondLife
2010-07-22 10:10 . 2010-07-22 10:10 -------- d-----w- d:\users\Brez\AppData\Roaming\InstallShield
2010-07-22 08:30 . 2010-07-22 08:30 -------- d-----w- d:\programdata\DAEMON Tools Lite
2010-07-22 08:30 . 2010-07-22 08:30 -------- d-----w- d:\program files\DAEMON Tools Toolbar
2010-07-22 08:30 . 2010-07-22 08:30 -------- d-----w- d:\program files\DAEMON Tools Lite
2010-07-22 08:27 . 2010-07-22 08:27 721904 ----a-w- d:\windows\system32\drivers\sptd.sys
2010-07-22 08:26 . 2010-07-22 08:32 -------- d-----w- d:\users\Brez\AppData\Roaming\DAEMON Tools Lite
2010-07-21 19:28 . 2010-08-01 16:40 -------- d-----w- d:\users\Brez\AppData\Roaming\skypePM
2010-07-21 19:21 . 2010-08-01 20:53 -------- d-----w- d:\users\Brez\AppData\Roaming\Skype
2010-07-21 19:20 . 2010-07-21 19:20 -------- d-----w- d:\program files\Common Files\Skype
2010-07-21 19:20 . 2010-07-26 01:26 -------- d-----r- d:\program files\Skype
2010-07-21 19:20 . 2010-07-21 19:20 -------- d-----w- d:\programdata\Skype
2010-07-21 18:31 . 2010-07-21 18:31 -------- d-----w- d:\windows\system32\Wat
2010-07-21 16:30 . 2009-09-10 05:52 257024 ----a-w- d:\windows\system32\msv1_0.dll
2010-07-21 16:29 . 2009-11-25 10:47 99176 ----a-w- d:\windows\system32\PresentationHostProxy.dll
2010-07-21 16:29 . 2009-11-25 10:47 49472 ----a-w- d:\windows\system32\netfxperf.dll
2010-07-21 16:29 . 2009-11-25 10:47 297808 ----a-w- d:\windows\system32\mscoree.dll
2010-07-21 16:29 . 2009-11-25 10:47 295264 ----a-w- d:\windows\system32\PresentationHost.exe
2010-07-21 16:29 . 2009-11-25 10:47 1130824 ----a-w- d:\windows\system32\dfshim.dll
2010-07-21 16:25 . 2010-02-11 07:10 293376 ----a-w- d:\windows\system32\browserchoice.exe
2010-07-21 16:13 . 2010-07-21 16:21 -------- d-----w- d:\program files\VirtualDJ
2010-07-21 16:11 . 2010-07-21 16:11 -------- d-----w- d:\program files\Guillemot
2010-07-21 16:11 . 2005-08-15 09:43 39424 ----a-w- d:\windows\system32\drivers\hdjmidi.sys
2010-07-21 16:11 . 2005-01-28 10:49 106496 ----a-w- d:\windows\system32\GUStrLib.dll
2010-07-21 16:11 . 2003-03-18 23:20 1060864 ----a-w- d:\windows\system32\MFC71.dll
2010-07-21 16:11 . 2003-03-18 22:14 499712 ----a-w- d:\windows\system32\msvcp71.dll
2010-07-21 16:11 . 2003-02-21 03:42 348160 ----a-w- d:\windows\system32\msvcr71.dll
2010-07-21 16:11 . 2005-08-29 11:31 37376 ----a-w- d:\windows\system32\HDJSAPI.dll
2010-07-21 16:11 . 2010-07-21 16:11 -------- d-----w- d:\program files\Hercules
2010-07-21 16:11 . 2005-07-29 13:06 11008 ----a-w- d:\windows\system32\drivers\HDJCTRL.sys
2010-07-21 16:11 . 2005-08-15 07:21 17408 ----a-w- d:\windows\system32\HDJCProp.DLL
2010-07-21 16:10 . 2010-07-22 08:33 -------- d-----w- d:\program files\Common Files\InstallShield
2010-07-21 15:57 . 2010-08-11 16:48 -------- d-----w- d:\users\Brez\AppData\Roaming\vlc
2010-07-21 13:52 . 2010-07-21 19:58 -------- d-----w- d:\users\Brez\AppData\Roaming\TeamViewer
2010-07-21 13:51 . 2010-07-21 13:51 -------- d-----w- d:\program files\TeamViewer
2010-07-21 13:47 . 2010-07-22 00:01 59112 ----a-w- d:\users\Brez\AppData\Local\GDIPFONTCACHEV1.DAT
2010-07-21 13:35 . 2010-07-21 13:35 -------- d-----w- d:\program files\WinSCP
2010-07-21 13:31 . 2010-07-21 13:38 -------- d-----w- d:\users\Brez\.zenmap
2010-07-21 13:30 . 2010-07-21 13:30 -------- d-----w- d:\program files\WinPcap
2010-07-21 13:30 . 2010-07-21 13:31 -------- d-----w- d:\program files\Nmap
2010-07-21 12:18 . 2010-07-21 12:18 -------- d-----w- d:\programdata\regid.1986-12.com.adobe
2010-07-21 12:16 . 2010-07-21 12:16 -------- d-----w- d:\program files\Adobe Media Player
2010-07-21 12:15 . 2010-07-21 12:15 -------- d-----w- d:\program files\Common Files\Adobe AIR
2010-07-21 12:12 . 2009-10-31 05:45 2614272 ----a-w- d:\windows\explorer.exe
2010-07-21 12:12 . 2009-10-28 06:17 285696 ----a-w- d:\windows\system32\winlogon.exe
2010-07-21 12:11 . 2010-08-09 23:13 -------- d-----w- d:\users\Brez\AppData\Local\Adobe
2010-07-21 11:54 . 2010-08-02 13:48 -------- d-----w- d:\users\Brez\AppData\Roaming\Webocton - Scriptly
2010-07-21 11:40 . 2010-08-11 23:24 -------- d-----w- d:\program files\Common Files\Akamai
2010-07-21 11:30 . 2010-07-21 11:30 -------- d-----w- d:\program files\Common Files\Java
2010-07-21 11:30 . 2010-07-21 11:30 423656 ----a-w- d:\windows\system32\deployJava1.dll
2010-07-21 11:30 . 2010-07-21 11:30 -------- d-----w- d:\program files\Java
2010-07-21 11:12 . 2010-07-21 11:12 -------- d-----w- d:\programdata\FLEXnet
2010-07-21 11:07 . 2010-07-21 10:27 -------- d-----w- d:\windows\Panther
2010-07-21 11:05 . 2010-07-21 11:05 -------- d-----w- d:\windows\system32\Macromed
2010-07-21 11:03 . 2010-08-09 23:13 -------- d-----w- d:\program files\Common Files\Adobe
2010-07-21 11:00 . 2010-07-21 11:00 -------- d-----w- D:\Windows.old.000
2010-07-21 10:50 . 2010-07-21 10:50 -------- d-----w- d:\programdata\ICQ
2010-07-21 10:50 . 2010-07-21 10:50 -------- d-----w- d:\program files\ICQ6Toolbar
2010-07-21 10:49 . 2010-08-11 21:05 -------- d-----w- d:\users\Brez\AppData\Roaming\ICQ
2010-07-21 10:49 . 2010-07-21 10:49 -------- d-----w- d:\users\Brez\AppData\Local\AOL
2010-07-21 10:49 . 2010-08-11 21:05 -------- d-----w- d:\program files\ICQ7.0
2010-07-21 10:49 . 2009-09-26 05:58 194488 ----a-w- d:\windows\system32\drivers\fvevol.sys
2010-07-21 10:49 . 2009-08-29 06:57 34816 ----a-w- d:\windows\system32\msasn1.dll
2010-07-21 10:49 . 2009-12-11 07:44 133720 ----a-w- d:\windows\system32\drivers\ksecpkg.sys
2010-07-21 10:49 . 2009-12-11 07:38 1037312 ----a-w- d:\windows\system32\lsasrv.dll
2010-07-21 10:49 . 2010-03-04 07:33 740864 ----a-w- d:\windows\system32\inetcomm.dll
2010-07-21 10:47 . 2010-07-21 10:47 -------- d-----w- d:\program files\VideoLAN
2010-07-21 10:46 . 2010-07-21 10:46 -------- d-----w- d:\users\Brez\AppData\Local\Mozilla
2010-07-21 10:40 . 2010-07-21 10:40 -------- d-----w- d:\programdata\TrueSuite
2010-07-21 10:40 . 2010-07-21 10:40 -------- d-----w- d:\program files\TrueSuite
2010-07-21 10:40 . 2010-07-21 10:40 -------- d-----w- d:\windows\system32\wocaffe
2010-07-21 10:40 . 2010-07-21 10:40 -------- d-----w- d:\programdata\Downloaded Installations
2010-07-21 10:39 . 2009-07-24 08:49 114688 ----a-w- d:\windows\system32\RicohMediadriverVer.dll
2010-07-21 10:39 . 2009-06-25 14:58 48128 ----a-w- d:\windows\system32\drivers\rimmptsk.sys
2010-07-21 10:39 . 2009-06-25 14:25 38400 ----a-w- d:\windows\system32\drivers\rixdptsk.sys
2010-07-21 10:39 . 2009-06-25 14:10 44544 ----a-w- d:\windows\system32\drivers\rimsptsk.sys
2010-07-21 10:39 . 2010-07-22 12:00 -------- d--h--w- d:\program files\InstallShield Installation Information
2010-07-21 10:39 . 2007-07-25 10:48 172032 ----a-w- d:\windows\system32\rixdicon.dll
2010-07-21 10:39 . 2004-09-04 01:00 90112 ----a-w- d:\windows\system32\snymsico.dll
2010-07-21 10:38 . 2010-05-21 12:14 221568 ------w- d:\windows\system32\MpSigStub.exe
2010-07-21 10:35 . 2010-07-21 10:35 -------- d-----w- d:\programdata\NVIDIA
2010-07-21 10:32 . 2010-05-27 07:24 34304 ----a-w- d:\windows\system32\atmlib.dll
2010-07-21 10:32 . 2010-05-27 03:49 293888 ----a-w- d:\windows\system32\atmfd.dll
2010-07-21 10:32 . 2009-10-19 14:10 70656 ----a-w- d:\windows\system32\fontsub.dll
2010-07-21 10:31 . 2010-08-10 08:03 -------- d-sh--w- d:\windows\Installer
2010-07-21 10:31 . 2009-10-03 04:02 584296 ----a-w- d:\windows\system32\nvuninst.exe
2010-07-21 10:29 . 2009-12-29 06:55 172032 ----a-w- d:\windows\system32\wintrust.dll
2010-07-21 10:28 . 2010-01-09 06:52 132608 ----a-w- d:\windows\system32\cabview.dll
2010-07-21 10:25 . 2010-08-11 23:30 -------- d-----w- d:\windows\system32\wbem\Performance
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2010-08-11 23:30 . 2009-07-14 08:47 643866 ----a-w- d:\windows\system32\perfh007.dat
2010-08-11 23:30 . 2009-07-14 08:47 126394 ----a-w- d:\windows\system32\perfc007.dat
2010-07-22 18:40 . 2010-07-22 18:40 0 ---ha-w- d:\windows\system32\drivers\Msft_User_WpdFs_01_09_ 00.Wdf
2010-07-21 19:28 . 2010-07-21 19:28 56 ---ha-w- d:\programdata\ezsidmv.dat
2010-07-21 18:31 . 2009-07-14 02:37 -------- d-----w- d:\program files\Windows Mail
2010-07-21 10:40 . 2010-07-21 10:40 0 ---ha-w- d:\windows\system32\drivers\Msft_Kernel_ATSwpWDF_0 1009.Wdf
2010-07-21 10:27 . 2010-07-21 10:27 -------- d-sh--we d:\programdata\Vorlagen
2010-07-21 10:27 . 2010-07-21 10:27 -------- d-sh--we d:\programdata\Startmenü
2010-07-21 10:27 . 2010-07-21 10:27 -------- d-sh--we d:\programdata\Favoriten
2010-07-21 10:27 . 2010-07-21 10:27 -------- d-sh--we d:\programdata\Dokumente
2010-07-21 10:27 . 2010-07-21 10:27 -------- d-sh--we d:\programdata\Anwendungsdaten
2010-07-21 10:27 . 2010-07-21 10:27 -------- d-sh--we d:\program files\Gemeinsame Dateien
2010-05-21 05:18 . 2010-07-21 10:48 977920 ----a-w- d:\windows\system32\wininet.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- d:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- d:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb 108c86c\WinMail.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ICQ"="d:\program files\ICQ7.0\ICQ.exe" [2010-06-08 133368]
"DAEMON Tools Lite"="d:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce]
"FlashPlayerUpdate"="d:\windows\system32\Macromed\Flash\FlashUtil10h_Pl ugin.exe" [2010-07-21 231888]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2009-10-03 13826664]
"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"AdobeAAMUpdater-1.0"="d:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.e xe" [2010-03-06 500208]
"SwitchBoard"="d:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="d:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.ex e" [2010-02-22 406992]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="d:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
R3 HDJCtrl;Hercules DJ Control MP3 Service;d:\windows\system32\Drivers\HDJCtrl.sys [2005-07-29 11008]
R3 HDJMidi;Hercules DJ Console MIDI;d:\windows\system32\DRIVERS\HDJMidi.sys [2005-08-15 39424]
R3 SwitchBoard;SwitchBoard;d:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;d:\windows\system32 \Wat\WatAdminSvc.exe [2010-07-21 1343400]
R4 sptd;sptd;d:\windows\system32\Drivers\sptd.sys [2010-07-22 721904]
S2 Akamai;Akamai NetSession Interface;d:\windows\System32\svchost.exe [2009-07-14 20992]
S2 npf;NetGroup Packet Filter Driver;d:\windows\system32\drivers\npf.sys [2010-01-27 50704]
S2 TeamViewer5;TeamViewer 5;d:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-02-11 172328]
S3 ATSwpWDF;AuthenTec TruePrint USB WBF WDF Driver;d:\windows\system32\Drivers\ATSwpWDF.sys [2009-12-03 625224]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;d:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 RTL8167;Realtek 8167 NT-Treiber;d:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 08:14 451872 ----a-w- d:\program files\Common Files\LightScribe\LSRunOnce.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - d:\users\Brez\AppData\Roaming\Mozilla\Firefox\Prof iles\ihiqn0gl.default\
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.1&q=
FF - plugin: d:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
---- FIREFOX Richtlinien ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere_ _temporarily_available_pref", true);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-AdobeBridge - (no file)
AddRemove-DAEMON Tools Toolbar - d:\program files\DAEMON Tools Toolbar\uninst.exe
AddRemove-Virtual DJ - Atomix Productions - i:\progra~2\VIRTUA~1\UNWISE.EXE
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\A kamai]
"ServiceDll"="D:/Program Files/Common Files/Akamai/rswin_3725.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\A kamai]
"ServiceDll"="D:/Program Files/Common Files/Akamai/rswin_3725.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil 10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil1 0h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63 A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F 2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PC W\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-08-12 01:38:59
ComboFix-quarantined-files.txt 2010-08-11 23:38
Vor Suchlauf: 7 Verzeichnis(se), 75.244.273.664 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 75.152.322.560 Bytes frei
- - End Of File - - 94741F8BD046EB4E81D98B88DAE4D5F6
Kann in allen 3 Log's nicht's auffälliges erkennen. Lass mal Spybot drüber laufen, vielleicht findet der irgendwas.
Scheint ein Fehlalarm zu sein. Ansonsten die Registry nach allen gängigen RAT's durchsuchen, wirkt meistens wunder. Vielleicht mal in den Autostart reinschauen (Start > Ausführen > msconfig).
Th3_Cr4xX
12.08.2010, 00:50
Ich weiß ja nicht warum ihr euch das immer an tut.... Systemwiederherstellung -> Vorgestern
Mac_Hack
12.08.2010, 00:58
Ich danke dir für deine Hilfe.
Muss ich bei Combofix irgendetwas beachten weiter hin, soll ich es wieder löschen? Was macht dieses Programm genau?
Autostart ist auch überhaupt nichts auffälliges. Es ist bis jetzt auch nichts auffälliges gewesen, außer eben die Datei(n) auf dem Desktop.
Ich werde das mal genauer beobachten!
Danke erstmals...
Ich weiß ja nicht warum ihr euch das immer an tut.... Systemwiederherstellung -> Vorgestern
Das kannst in den meisten Fällen vergessen.... Manche Schädlinge fressen sich zu tief in das System hinein um auf den Trick rein zu fallen!
Jedem das seine! ;)
Vielleicht funktioniert es ja nicht mit einem einzigen? Schonmal darüber nachgedacht? Hast du überhaupt Ahnung was die ganzen Tools machen? Scheint ja nicht so, also einfach ruhig bleiben. ;)
Mac_Hack
12.08.2010, 11:02
Was die Tools machen habe ich schon gefragt, ich warte nur noch auf die Antwort. :P
S&D werde ich die Tage mal drüber laufen lassen, mal sehen was es bringt...
Mac_Hack
12.08.2010, 11:53
Ne Formatiert habe ich erst. Ich werde mal meinen Traffic beobachten ob etwas auffälliges zu finden ist.
@ Apex baue dir doch mal ein tüttchen als Beruhigung, vielleicht hilft es ja. ;)
Systemwiederherstellung hatte ich schon angesprochen und ist meiner Meinung nach sinnlos!
Danke für eure hilfe!
Powered by vBulletin® Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.