Trojaner-Board - Einzelnen Beitrag anzeigen - sygate meldet rundll32 zugriff auf rightonadz.biz

xardras · 19.10.2007, 03:43

Ich nutze es doch. Schon nach paar Tagen wäre ein Image jedoch eher nur noch die Notlösung und als diese ist Acronis für mich gedacht. Sonst wärs ja unnötig hier zu posten, seh ich auch so. Ich versprech mir vom Posten eine bessere Lösung.

Wollte die nsiE.dll eben scannen, jetzt existiert die Datei nicht mehr! (Habe mittlerweile einmal neu gebootet, und habe versteckte sowie Systemdateien eingeblendet.)
aber ich glaub sie ist nichtmal das hauptproblem..... danke für die guten tools!
scheint jedoch leider nicht gut auszusehen.. :-\ ?

MWAV:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.2.6
Sprache: English
Virus Database Date: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "look2me Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\Addon\BSI\toolbox\Parentsfriend\pfsetup.exe//data0025 infected by "Trojan-PSW.Win32.VB.ji" Virus! Action Taken: No Action Taken.
File C:\Addon\Norton_Internet_Security\NAV\External\NORTON\NAVAPW32.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Programme\Adobe\Reader 8.0\Setup Files\{AC76BA86-7AD7-1033-7B44-A81000000003}\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOWNLOAD\UltraVNC-102-Bin(2).zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\DOWNLOAD\UltraVNC-102-Bin.zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\Programme\UltraVNC-102-Bin\UltraVNC-server.zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\Programme\UltraVNC-102-Bin\vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\Programme\UltraVNC-102-Bin\winvnc.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken.
File C:\[MP3PLAYER]\[FIRMWARE]\AMV_Convert_368_www.mympxplayer.org.zip/AMV_Convert_368/MSI.CAB/_6227252443C841BF9FFDFF29A9856421 tagged as "not-a-virus:RiskTool.Win32.Deleter.b". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\look2me !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7fd154a-86ac-11da-bf09-00904bd2ecd1} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOWNLOAD\CMI8738.zip not Scanned. Possibly password protected...
C:\DOWNLOAD\Rainlendar-0.22.1.exe.part not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 19
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 112
Time Elapsed: 03:04:55
Total Objects Scanned: 260506
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 2:29:42,48
Batchende: 2:29:52,40

ComboFix:

ComboFix 07-10-17.8@ - *** 2007-10-18 22:04:24.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.439 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com
C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com\played_list.sol
C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\w*w.broadcaster.com\video_queue.sol
C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.broadcaster.com
C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.broadcaster.com\settings.sol
C:\WINDOWS\system32\nsc13.dll
C:\WINDOWS\system32\system

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-18 bis 2007-10-18 ))))))))))))))))))))))))))))))
.

2007-10-18 22:03 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-17 20:06 40,733 --a------ C:\WINDOWS\system32\rightonadz-uninst.exe
2007-10-17 20:05 79,877 --a------ C:\WINDOWS\system32\adssite-remove.exe
2007-10-17 00:50 468,480 --a------ C:\WINDOWS\system32\NMDll.dll
2007-10-17 00:50 208,896 --a------ C:\WINDOWS\system32\HDBHO.dll
2007-10-17 00:50 20,480 --a------ C:\WINDOWS\yhl.dll
2007-10-17 00:50 7,168 --a------ C:\WINDOWS\lq.dll
2007-10-17 00:34 <DIR> d-------- C:\Programme\Real Alternative
2007-10-16 23:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-10-16 22:54 <DIR> d-------- C:\Programme\Real
2007-10-15 19:07 <DIR> d-------- C:\Programme\PHTML Encoder
2007-10-15 19:06 <DIR> d-------- C:\Programme\phpCipher
2007-10-15 18:53 <DIR> d-------- C:\Programme\SourceGuardian 2.0 Pro Demo
2007-10-15 17:57 <DIR> d-------- C:\Programme\PHP Obfuscator
2007-10-02 22:01 <DIR> d-------- C:\Programme\ordrumbox
2007-10-01 05:24 <DIR> d-------- C:\Programme\WinBoard-4.2.7

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-18 20:03 --------- d-----w C:\Programme\Trillian
2007-10-18 20:03 --------- d-----w C:\Programme\GuildFTPd
2007-10-18 20:03 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\SmartFTP
2007-10-18 19:09 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tor
2007-10-18 17:33 --------- d-----w C:\Programme\Java
2007-10-18 17:26 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vidalia
2007-10-18 09:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVG7
2007-10-17 21:31 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\foobar2000
2007-10-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2007-10-16 09:42 --------- d-----w C:\Programme\PortableFirefox
2007-10-16 01:51 --------- d-----w C:\Programme\FirefoxPortable
2007-10-16 01:49 --------- d-----w C:\Programme\Biet-O-Matic
2007-10-15 17:06 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-10-15 17:06 249,856 ------w C:\WINDOWS\Setup1.exe
2007-10-12 00:45 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2007-09-20 23:59 --------- d-----w C:\Programme\Last.fm
2007-09-15 16:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-09-11 16:37 --------- d-----w C:\Programme\Lexmark X1100 Series
2007-09-09 13:24 --------- d-----w C:\Programme\speq
2007-08-31 16:01 --------- d-----w C:\Programme\foobar2000
2007-07-07 13:16 606 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat
2006-04-24 16:55 54,313 ----a-w C:\Programme\tor-bundle-uninstall.exe
2006-02-11 00:41 26,657 ----a-w C:\Programme\BUNDLE_LICENSE
2005-09-09 17:55 7,155,864 ----a-w C:\Programme\NGhost10.msi
2005-09-09 17:55 4,588,454 ----a-w C:\Programme\setup.exe
2005-09-09 17:55 37,766,164 ----a-w C:\Programme\Data1.cab
2005-09-09 17:55 35 ----a-w C:\Programme\SCSSDist.ini
2007-01-20 14:52:05 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49]
"SiSPower"="SiSPower.dll" [2004-09-02 14:47 C:\WINDOWS\system32\SiSPower.dll]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2004-09-02 13:44]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 19:15]
"OdTray.exe"="C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" [2003-12-16 12:44]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-09-14 09:08]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57]
"CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [2002-03-19 17:30]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-25 22:48]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-25 22:48]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2007-02-08 03:38]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= C:\active desktop\wiki.html
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
Source= C:\activeDesktop.html
FriendlyName=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"

R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotcore3.sys
R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys
R3 EU3_USB;WLAN miniUSB USB Driver;C:\WINDOWS\system32\DRIVERS\EU3USB.sys
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\NSNDIS5.SYS
S3 PRISM_A00;PRISM 802.11 Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
S3 Sunplus;Mega Camera Still Image Capture, Sunplus Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1733BDA9-5A3F-F9C1-1D48-21CFE0F1A0B4}]
C:\WINDOWS\system32\system\system.exe s
.
Inhalt des "geplante Tasks" Ordners
"2007-10-12 15:16:20 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-18 22:11:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-18 22:13:41 - machine was rebooted
.
--- E O F ---

19.10.2007, 03:43	#5 (permalink)
xardras Registriert seit: 18.10.2007 Beiträge: 7	AW: sygate meldet rundll32 zugriff auf rightonadz.biz Ich nutze es doch. Schon nach paar Tagen wäre ein Image jedoch eher nur noch die Notlösung und als diese ist Acronis für mich gedacht. Sonst wärs ja unnötig hier zu posten, seh ich auch so. Ich versprech mir vom Posten eine bessere Lösung. Wollte die nsiE.dll eben scannen, jetzt existiert die Datei nicht mehr! (Habe mittlerweile einmal neu gebootet, und habe versteckte sowie Systemdateien eingeblendet.) aber ich glaub sie ist nichtmal das hauptproblem..... danke für die guten tools! scheint jedoch leider nicht gut auszusehen.. :-\ ? MWAV: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.2.6 Sprache: English Virus Database Date: 5/28/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken. System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: No Action Taken. Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "look2me Adware" found in File System! Action Taken: No Action Taken. Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ File C:\Addon\BSI\toolbox\Parentsfriend\pfsetup.exe//data0025 infected by "Trojan-PSW.Win32.VB.ji" Virus! Action Taken: No Action Taken. File C:\Addon\Norton_Internet_Security\NAV\External\NORTON\NAVAPW32.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. File C:\Programme\Adobe\Reader 8.0\Setup Files\{AC76BA86-7AD7-1033-7B44-A81000000003}\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\DOWNLOAD\UltraVNC-102-Bin(2).zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\DOWNLOAD\UltraVNC-102-Bin.zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\Programme\UltraVNC-102-Bin\UltraVNC-server.zip/vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\Programme\UltraVNC-102-Bin\vnchooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\Programme\UltraVNC-102-Bin\winvnc.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.c". No Action Taken. File C:\[MP3PLAYER]\[FIRMWARE]\AMV_Convert_368_www.mympxplayer.org.zip/AMV_Convert_368/MSI.CAB/_6227252443C841BF9FFDFF29A9856421 tagged as "not-a-virus:RiskTool.Win32.Deleter.b". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\WINDOWS\icons ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\look2me !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7fd154a-86ac-11da-bf09-00904bd2ecd1} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ *Prozesse und Module* ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ *Scanfehler* ~~~~~~~~~~~~~~~~~~~~~~ C:\DOWNLOAD\CMI8738.zip not Scanned. Possibly password protected... C:\DOWNLOAD\Rainlendar-0.22.1.exe.part not Scanned. Possibly password protected... ~~~~~~~~~~~~~~~~~~~~~~ *Hosts-Datei* ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Total Critical Objects: 19 Total Disinfected Objects: 0 Total Objects Renamed: 0 Total Deleted Objects: 0 Total Errors: 112 Time Elapsed: 03:04:55 Total Objects Scanned: 260506 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Memory Check: Enabled Registry Check: Enabled System Folder Check: Enabled System Area Check: Disabled Services Check: Enabled Drive Check: Disabled All Drive Check :Enabled All Drive Check :Enabled Batchstart: 2:29:42,48 Batchende: 2:29:52,40 ComboFix: ComboFix 07-10-17.8@ - *** 2007-10-18 22:04:24.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.439 [GMT 2:00] ausgeführt von:: C:\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\ww.broadcaster.com C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\ww.broadcaster.com\played_list.sol C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\545ZYHCT\ww.broadcaster.com\video_queue.sol C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#ww.broadcaster.com C:\Dokumente und Einstellungen\me\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#ww.broadcaster.com\settings.sol C:\WINDOWS\system32\nsc13.dll C:\WINDOWS\system32\system . ((((((((((((((((((((((( Dateien erstellt von 2007-09-18 bis 2007-10-18 )))))))))))))))))))))))))))))) . 2007-10-18 22:03 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-17 20:06 40,733 --a------ C:\WINDOWS\system32\rightonadz-uninst.exe 2007-10-17 20:05 79,877 --a------ C:\WINDOWS\system32\adssite-remove.exe 2007-10-17 00:50 468,480 --a------ C:\WINDOWS\system32\NMDll.dll 2007-10-17 00:50 208,896 --a------ C:\WINDOWS\system32\HDBHO.dll 2007-10-17 00:50 20,480 --a------ C:\WINDOWS\yhl.dll 2007-10-17 00:50 7,168 --a------ C:\WINDOWS\lq.dll 2007-10-17 00:34 <DIR> d-------- C:\Programme\Real Alternative 2007-10-16 23:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real 2007-10-16 22:54 <DIR> d-------- C:\Programme\Real 2007-10-15 19:07 <DIR> d-------- C:\Programme\PHTML Encoder 2007-10-15 19:06 <DIR> d-------- C:\Programme\phpCipher 2007-10-15 18:53 <DIR> d-------- C:\Programme\SourceGuardian 2.0 Pro Demo 2007-10-15 17:57 <DIR> d-------- C:\Programme\PHP Obfuscator 2007-10-02 22:01 <DIR> d-------- C:\Programme\ordrumbox 2007-10-01 05:24 <DIR> d-------- C:\Programme\WinBoard-4.2.7 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-18 20:03 --------- d-----w C:\Programme\Trillian 2007-10-18 20:03 --------- d-----w C:\Programme\GuildFTPd 2007-10-18 20:03 --------- d-----w C:\Dokumente und Einstellungen\\Anwendungsdaten\SmartFTP 2007-10-18 19:09 --------- d-----w C:\Dokumente und Einstellungen\\Anwendungsdaten\Tor 2007-10-18 17:33 --------- d-----w C:\Programme\Java 2007-10-18 17:26 --------- d-----w C:\Dokumente und Einstellungen\\Anwendungsdaten\Vidalia 2007-10-18 09:18 --------- d-----w C:\Dokumente und Einstellungen\\Anwendungsdaten\AVG7 2007-10-17 21:31 --------- d-----w C:\Dokumente und Einstellungen\\Anwendungsdaten\foobar2000 2007-10-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7 2007-10-16 09:42 --------- d-----w C:\Programme\PortableFirefox 2007-10-16 01:51 --------- d-----w C:\Programme\FirefoxPortable 2007-10-16 01:49 --------- d-----w C:\Programme\Biet-O-Matic 2007-10-15 17:06 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2007-10-15 17:06 249,856 ------w C:\WINDOWS\Setup1.exe 2007-10-12 00:45 --------- d-----w C:\Dokumente und Einstellungen\\Anwendungsdaten\Skype 2007-09-20 23:59 --------- d-----w C:\Programme\Last.fm 2007-09-15 16:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm 2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2007-09-14 06:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2007-09-11 16:37 --------- d-----w C:\Programme\Lexmark X1100 Series 2007-09-09 13:24 --------- d-----w C:\Programme\speq 2007-08-31 16:01 --------- d-----w C:\Programme\foobar2000 2007-07-07 13:16 606 ----a-w C:\Dokumente und Einstellungen\*\Anwendungsdaten\wklnhst.dat 2006-04-24 16:55 54,313 ----a-w C:\Programme\tor-bundle-uninstall.exe 2006-02-11 00:41 26,657 ----a-w C:\Programme\BUNDLE_LICENSE 2005-09-09 17:55 7,155,864 ----a-w C:\Programme\NGhost10.msi 2005-09-09 17:55 4,588,454 ----a-w C:\Programme\setup.exe 2005-09-09 17:55 37,766,164 ----a-w C:\Programme\Data1.cab 2005-09-09 17:55 35 ----a-w C:\Programme\SCSSDist.ini 2007-01-20 14:52:05 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49] "SiSPower"="SiSPower.dll" [2004-09-02 14:47 C:\WINDOWS\system32\SiSPower.dll] "SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2004-09-02 13:44] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 19:15] "OdTray.exe"="C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" [2003-12-16 12:44] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-09-14 09:08] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57] "CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [2002-03-19 17:30] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-25 22:48] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-25 22:48] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] "Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2007-02-08 03:38] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoResolveSearch"=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsNetHood"=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1] Source= C:\active desktop\wiki.html FriendlyName= [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2] Source= C:\activeDesktop.html FriendlyName= [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 relog_ap [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotcore3.sys R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys R3 EU3_USB;WLAN miniUSB USB Driver;C:\WINDOWS\system32\DRIVERS\EU3USB.sys R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\NSNDIS5.SYS S3 PRISM_A00;PRISM 802.11 Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys S3 Sunplus;Mega Camera Still Image Capture, Sunplus Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1733BDA9-5A3F-F9C1-1D48-21CFE0F1A0B4}] C:\WINDOWS\system32\system\system.exe s . Inhalt des "geplante Tasks" Ordners "2007-10-12 15:16:20 C:\WINDOWS\Tasks\1-Klick-Wartung.job" . ************************************************************************ catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-18 22:11:16 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************ . Zeit der Fertigstellung: 2007-10-18 22:13:41 - machine was rebooted . --- E O F --- Geändert von xardras (19.10.2007 um 04:05 Uhr)