Jan Niklas [Gast] schrieb am 11.April.2010, 14:59:42 in der Kategorie pc.security
trojan aspxj.swin 32
> hier noch die info datei
>
> 2.Teil
>
PowerProducer-->RunDll32 C:\\PROGRA~1\\COMMON~1\\INSTAL~1\\engine\\6\\INTEL3~1\\Ctor.dll,LaunchSetup \"C:\\Program Files\\InstallShield Installation Information\\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\\setup.exe\" -uninstall
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Safari-->MsiExec.exe /I{C5C649A8-1D21-4C83-9B08-7B3752E580F4}
Samsung Magic Doctor-->RunDll32 C:\\PROGRA~1\\COMMON~1\\INSTAL~1\\PROFES~1\\RunTime\\0701\\Intel32\\Ctor.dll,LaunchSetup \"C:\\Program Files\\InstallShield Installation Information\\{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}\\Setup.exe\" -l0x9 Remove
Samsung Recovery Solution II-->C:\\Program Files\\InstallShield Installation Information\\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}\\setup.exe -runfromtemp -l0x0007 -removeonly
Samsung Update Plus-->\"C:\\Program Files\\InstallShield Installation Information\\{A5F483F0-2D79-4FCA-AE09-D0D96E23EBF7}\\setup.exe\" -runfromtemp -l0x0409 -removeonly
Samsung Update Plus-->MsiExec.exe /X{A5F483F0-2D79-4FCA-AE09-D0D96E23EBF7}
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB978380)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {667A88D1-0369-4070-A62A-70672D68A9BF}
Security Update for Microsoft Office Excel 2007 (KB978382)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {6DE3DABF-0203-426B-B330-7287D1003E86}
Security Update for Microsoft Office Outlook 2007 (KB972363)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {120BE9A0-9B09-4855-9E0C-7DEE45CB03C0}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Synaptics Pointing Device Driver-->rundll32.exe \"C:\\Program Files\\Synaptics\\SynTP\\SynISDLL.dll\",standAloneUninstall
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)-->MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F}
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for 2007 Microsoft Office System (KB977724)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {CC0E469C-5006-48B9-BBDC-D11B562499B4}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\\Windows\\system32\\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=\"\"
Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
Update for Microsoft Office Word 2007 (KB974561)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {0CDDBAA2-2111-4A0E-A1B0-76C40C635331}
Update for Outlook 2007 Junk Email Filter (kb979895)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {D45674C6-9127-4C84-8826-93FBC552DF53}
Update für Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF}
Update für Microsoft Office Outlook 2007 Help (KB963677)-->msiexec /package {90120000-001A-0407-0000-0000000FF1CE} /uninstall {F6828576-6F79-470D-AB50-69D1BBADBD30}
Update für Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {EA160DA3-E9B5-4D03-A518-21D306665B96}
Update für Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {38472199-D7B6-4833-A949-10E4EE6365A1}
Update Service-->C:\\Program Files\\Sony Ericsson\\Update Service\\uninst.exe
User Guide-->RunDll32 C:\\PROGRA~1\\COMMON~1\\INSTAL~1\\PROFES~1\\RunTime\\0701\\Intel32\\Ctor.dll,LaunchSetup \"C:\\Program Files\\InstallShield Installation Information\\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}\\setup.exe\" -l0x9 Remove
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
VideoLAN VLC media player 0.8.6i-->C:\\Program Files\\VideoLAN\\VLC\\uninstall.exe
Vimicro UVC Camera-->C:\\Program Files\\InstallShield Installation Information\\{71A51B09-E7D3-11DB-A386-005056C00008}\\setup.exe -runfromtemp -l0x0009 -removeonly
WIDCOMM Bluetooth Software 6.0.1.5000-->MsiExec.exe /X{03D1988F-469F-4843-8E6E-E5FE9D17889D}
======Security center information======
AV: avast! antivirus 4.8.1335 [VPS 090224-0]
AS: Windows-Defender (outdated)
AS: avast! antivirus 4.8.1335 [VPS 090224-0]
======System event log======
Computer Name: JanNiklasRot-PC
Event Code: 4386
Message: Windows-Wartung erforderte einen Neustart, um das Update Microsoft-Windows-AutomationAPI-Package-he-il-LP-Toplevel aus Paket KB971513(Update) in den Status Installation angefordert(Install Requested) setzen zu können.
Record Number: 124225
Source Name: Microsoft-Windows-Servicing
Time Written: 20091029110234.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\\SYSTEM
Computer Name: JanNiklasRot-PC
Event Code: 4386
Message: Windows-Wartung erforderte einen Neustart, um das Update Microsoft-Windows-AutomationAPI-Package-fr-fr-LP-Toplevel aus Paket KB971513(Update) in den Status Installation angefordert(Install Requested) setzen zu können.
Record Number: 124224
Source Name: Microsoft-Windows-Servicing
Time Written: 20091029110234.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\\SYSTEM
Computer Name: JanNiklasRot-PC
Event Code: 4386
Message: Windows-Wartung erforderte einen Neustart, um das Update Microsoft-Windows-AutomationAPI-Package-fi-fi-LP-Toplevel aus Paket KB971513(Update) in den Status Installation angefordert(Install Requested) setzen zu können.
Record Number: 124223
Source Name: Microsoft-Windows-Servicing
Time Written: 20091029110234.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\\SYSTEM
Computer Name: JanNiklasRot-PC
Event Code: 4386
Message: Windows-Wartung erforderte einen Neustart, um das Update Microsoft-Windows-AutomationAPI-Package-et-ee-LP-Toplevel aus Paket KB971513(Update) in den Status Installation angefordert(Install Requested) setzen zu können.
Record Number: 124222
Source Name: Microsoft-Windows-Servicing
Time Written: 20091029110234.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\\SYSTEM
Computer Name: JanNiklasRot-PC
Event Code: 4386
Message: Windows-Wartung erforderte einen Neustart, um das Update Microsoft-Windows-AutomationAPI-Package-es-es-LP-Toplevel aus Paket KB971513(Update) in den Status Installation angefordert(Install Requested) setzen zu können.
Record Number: 124221
Source Name: Microsoft-Windows-Servicing
Time Written: 20091029110234.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\\SYSTEM
=====Application event log=====
Computer Name: LH-SGGG7FRLQRHM
Event Code: 9009
Message: Der Desktopfenster-Manager wurde mit dem Code (0xc00002fe) abgebrochen.
Record Number: 1665
Source Name: Desktop Window Manager
Time Written: 20080614121449.000000-000
Event Type: Informationen
User:
Computer Name: LH-SGGG7FRLQRHM
Event Code: 901
Message: Der Softwarelizenzierungsdienst wird beendet.
Record Number: 1664
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20080614121449.000000-000
Event Type: Informationen
User:
Computer Name: LH-SGGG7FRLQRHM
Event Code: 8225
Message: Der VSS-Dienst wird aufgrund eines Ereignisses vom Dienststeuerungs-Manager heruntergefahren.
Record Number: 1663
Source Name: VSS
Time Written: 20080614121449.000000-000
Event Type: Informationen
User:
Computer Name: LH-SGGG7FRLQRHM
Event Code: 17147
Message: SQL Server wird beendet, weil das System heruntergefahren wird. Diese Meldung dient nur zu Informationszwecken. Es ist keine Benutzeraktion erforderlich.
Record Number: 1662
Source Name: MSSQL$MSSMLBIZ
Time Written: 20080614121449.000000-000
Event Type: Informationen
User:
Computer Name: LH-SGGG7FRLQRHM
Event Code: 1013
Message: Der Windows-Suchdienst wurde normal beendet.
Record Number: 1661
Source Name: Microsoft-Windows-Search
Time Written: 20080614121447.000000-000
Event Type: Informationen
User:
=====Security event log=====
Computer Name: JanNiklasRot-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: JANNIKLASROT-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 2
Neue Anmeldung:
Sicherheits-ID: S-1-5-21-3450806227-2087300344-2482659042-1003
Kontoname: Jan Niklas Rotzek
Kontodomäne: JanNiklasRot-PC
Anmelde-ID: 0x529e3
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\\Windows\\System32\\winlogon.exe
Netzwerkinformationen:
Arbeitsstationsname: JANNIKLASROT-PC
Quellnetzwerkadresse: 127.0.0.1
Quellport: 0
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: User32
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie \"Winlogon.exe\" oder \"Services.exe\".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
#NAME?
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 8121
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080913144857.120749-000
Event Type: Überwachung erfolgreich
User:
Computer Name: JanNiklasRot-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: JANNIKLASROT-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: Jan Niklas Rotzek
Kontodomäne: JanNiklasRot-PC
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\\Windows\\System32\\winlogon.exe
Netzwerkinformationen:
Netzwerkadresse: 127.0.0.1
Port: 0
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl \"runas\" verwendet wird.
Record Number: 8120
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080913144857.120749-000
Event Type: Überwachung erfolgreich
User:
Computer Name: JanNiklasRot-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 8119
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080913144511.731949-000
Event Type: Überwachung erfolgreich
User:
Computer Name: JanNiklasRot-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: JANNIKLASROT-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmeldetyp: 5
Neue Anmeldung:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x288
Prozessname: C:\\Windows\\System32\\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie \"Winlogon.exe\" oder \"Services.exe\".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
#NAME?
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 8118
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080913144511.731949-000
Event Type: Überwachung erfolgreich
User:
Computer Name: JanNiklasRot-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: JANNIKLASROT-PC$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0x288
Prozessname: C:\\Windows\\System32\\services.exe
Netzwerkinformationen:
Netzwerkadresse: -
Port: -
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl \"runas\" verwendet wird.
Record Number: 8117
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080913144511.731949-000
Event Type: Überwachung erfolgreich
User:
======Environment variables======
ComSpec=%SystemRoot%\\system32\\cmd.exe
FP_NO_HOST_CHECK=NO
OS=Windows_NT
Path=C:\\Windows\\system32;C:\\Windows;C:\\Windows\\System32\\Wbem;C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static;C:\\Program Files\\Microsoft SQL Server\\90\\Tools\\binn\\;C:\\Program Files\\Common Files\\Teleca Shared;C:\\Program Files\\QuickTime\\QTSystem\\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=x86
TEMP=%SystemRoot%\\TEMP
TMP=%SystemRoot%\\TEMP
USERNAME=SYSTEM
windir=%SystemRoot%
PROCESSOR_LEVEL=6
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 13, GenuineIntel
PROCESSOR_REVISION=0f0d
NUMBER_OF_PROCESSORS=2
CLASSPATH=.;C:\\Program Files\\Java\\jre6\\lib\\ext\\QTJava.zip
QTJAVA=C:\\Program Files\\Java\\jre6\\lib\\ext\\QTJava.zip
-----------------EOF-----------------
Archiv